Page 1 of 1

SSL/TLS SSLv3の無効について

Posted: Fri Mar 22, 2019 6:22 am
by nobu321
ネットワーク脆弱性診断を受けた結果、TSL SSLv3を無効にするように指摘を受けています。
無効への対応可否、具体的な対応内容、対応した場合の影響、対応できない場合,あるいは対応しなくても問題ない等
の見解を頂けませんか?

・SSL/TLS SSLv3有効
1)説明
SSL v3をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle on Downgraded
Legacy Encryption (POODLE)攻撃の影響を受ける可能性がある。

2)想定の影響
 中間者攻撃により通信内容を解読される可能性がある。

3)対策
 SLLv3を無効かする。
 製品でTLS_FALLBACK_SCSV がサポートされている場合は、TLS Fallback Signaling Cipher Suite Value(SCSV)
 を有効にする。

対象のプロダクト
・SoftEther VPN Ver4.20

Re: SSL/TLS SSLv3の無効について

Posted: Fri Mar 22, 2019 10:09 am
by cedar
設定ファイルの「AcceptOnlyTls」の項目を修正することで SSL 3.0 の着信を無効化できます。