Microsoft セキュリティーチームが SSL 3.0 の脆弱性 (所謂、POODLE) への対処として、2015年 4月以降 (米国時間の 2015年 4月 14日以降)、IE11 における SSL 3.0 をデフォルト無効にすると発表しました。
SSL 3.0 が無効になるだけで、TLS 1.0、TLS 1.1、TLS 1.2 に関しては通常通り使えるため、ほとんど影響はないと思いますが、サーバ、Web サイト管理者の方々はあらためて確認が必要かと思います。
元々、「マイクロソフト セキュリティ アドバイザリ 3009008」 内は、下記の通り、(この文書がリリースされた 10月 15日から起算して) 数ヶ月以内に IE の既存設定 (および同社のオンラインサービス) で SSL 3.0 が無効になる旨がアナウンスされていました。
マイクロソフトは、今後数か月間の間に、Internet Explorer の既定設定、およびマイクロソフト オンラインサービスで SSL 3.0 が無効になることをお知らせします。マイクロソフトは、お客様が、クライアントおよびサービスを TLS 1.0、TLS 1.1、あるいはTLS 1.2 などのより安全なセキュリティ プロトコルに移行することを推奨します。
また、去年末には SSL 3.0 のフォールバック警告機能を公開したり、今年 2月の更新では SSL 3.0 のフォールバックを無効化したりと、段階的に進めてきた形。
ですので、デフォルト無効化も予定通りという感じ。
まだ少し先の話ではありますが、Windows Update で変更が適用されますので、自動更新を有効にしておきましょう。更新が適用されることで、IE の既存設定で自動的に SSL 3.0 が無効になると思われます。
IE 以外の SSL 3.0 無効化タイミング
主要ブラウザにおける SSL 3.0 無効化タイミングについては下記の記事でまとめていますが、
別途、下記の記事で書いている通り、Chrome (下記の記事は Chrome 39 で無効になったフォールバックの件ですが、その後、Chrome 40 も正式版がリリースされており、予定通り SSL 3.0 が無効化されました) や Firefox ではすでに SSL 3.0 が無効化されています。
- Google Chrome 39 が正式リリース、SSL 3.0 へのフォールバック機能がデフォルトで無効に
- Firefox 34 が正式リリース、SSL 3.0 の無効化、CSS Fonts 関連の実装強化など
