ご利用ガイド SSL 3.0の脆弱性「POODLE」に関する注意

「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」

概要

2014年10月15日、SSL 3.0に深刻な脆弱性が発見されました(CVE-2014-3566)。この脆弱性は「POODLE」と称されています。

この脆弱性を使用してSSL通信を解読され、個人情報、パスワード、Cookieなどが盗まれる可能性があります。

SSLを使用したサイトを運用されているお客様は、WebサーバのSSL 3.0サポートを無効にすることを強くお勧めします。

　・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback

　・ Vulnerability Summary for CVE-2014-3566

ConoHaで提供しているOSには、「テンプレートイメージ」「インストールイメージ」「アップロード済みISOイメージ」という3つの形式があります。このうち、後者の2つはお客様自身でインストール、運用を行っていただくものです。

テンプレートイメージを使って構築したVPSは、一部例外を除き、標準プラン、Windowsプラン共に初期状態でWebサーバはインストールされません。そのため、この脆弱性の影響は受けません。

一部例外というのは「nginx + WordPress」についてです。このテンプレートイメージは、初期状態でnginxがインストールされWebサーバが起動します。しかしSSLは無効になっているため、こちらも脆弱性の影響は受けません。

しかし、どのケースにおいても、お客様自身でWebサーバをインストールし、SSLを有効にした場合は、脆弱性の影響を受ける可能性があります。

各Webサーバの設定でSSL 3.0を無効にします。

SSLProtocolディレクティブで、SSLv3を無効にします。

その後Apacheを再起動してください。

SSLProtocol All -SSLv2 -SSLv3

ngx_http_ssl_moduleのssl_protocolsディレクティブからSSLv3を削除します。

その後、nginxを再起動してください。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

レジストリの設定を変更することで、SSL 3.0を無効にできます。

問題は解決できましたか？

お申し込み後すぐに使えます

ConoHaではサポートコンテンツの他にも以下のようなお役立ち情報をご用意しております。ぜひご活用ください。