はつねの日記

Kinect, Windows 10 UWP, Windows Azure, IoT, 電子工作

ニフティクラウドのLBでのHTTPSがプードル対策したようです

SSLv3の脆弱性、いわゆるプードルアタックの対策としてはサーバー側でSSLv3を禁止しTLSに絞るという対策が必要です。

 

クラウド仮想マシン上でHTTPSの暗号/復号を行っているときは、例えば、

のような対策が必要です。

 

では、クラウドのインフラを使ってHTTPSを実現しているときはどうしたらいいでしょうか。

これにはクラウドベンダー側の対応をまたなくてはならないですが、2014/10/17(金)夜の時点で、ニフティクラウドは提供しているロードバランサーHTTPS化するサービスでSSLv3を禁止しました(コンパネ自体はなぜかまだ対応していないですがw)。

この仕組みを利用してるサイトにSSLv3のみを許可したIE11で接続すると「[詳細設定] で SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2 を有効にして」とのメッセージが表示されて接続できません。

 

一方、Microsoft Azure Mobile Servicesはまだのようです。

SSLv3しか使えないところから接続できなくなるーというのもあるので判断は難しいのかもしれませんが、早急に対応してもらえるとうれしいですね。