今朝は SSL 3.0 の脆弱性が話題になっていますね。ちなみに私も影響を受けました(死
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース
困らされて悔しいので、SSL 3.0 を IIS で無効化する方法を調べました。相変わらずレジストリ弄らないと変更できないのはどうかと思いつつ試します。
How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services
How to Disable SSL 2.0 and SSL 3.0 in IIS 7
てか、何も考えずに Windows Server に IIS を追加すると、SSL 2.0 が有効になった状態になるのはいい加減にやめた方が良いのではないかと。
折角なので SSL 2.0 と 3.0 の両方を無効にしておきましょう。以下のコマンドを実行するだけです。
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f
これで SSL 2.0 と 3.0 を無効化する設定を追加出来ました。
そしてこの設定を反映させるためにはサーバーを再起動する必要があります。IIS の再起動で反映されないかなと期待しましたが、そんなうまい話はありませんでした。
サーバーの再起動後に、SSL 2.0 / 3.0 のみを有効にした Internet Explorer でアクセス出来ないことを確認出来ました。これでとりあえずは安心ですね。
Azure Web サイトについて
Azure Web サイトでは SSL 2.0 は標準で無効化されていますが、SSL 3.0 はまだ使える状態になっています。
今は SSL 3.0 は有効ですが、数日後にはアップデートが行われて無効になるかもしれないので、何らかの発表が行われるまで待ってみようかなと思います。
SSL 2.0 に関しては後から無効化するキーをレジストリに追加しているようでした。
なので、SSL 2.0 だけを有効にした Internet Explorer だとアクセスが出来ないです。もう標準で SSL 2.0 を無効にする設定を入れてくれた方が良いと思うんですが…。
Azure クラウドサービスについて
Twitter で Azure 界の抱かれたい男 No.1 に聞いたところ、同じような方法で対応可能っぽいです。
@shibayan StartupTask内でレジストリ弄って再起動すれば大丈夫かと
— こすもす.えび (@kamebuchi) 2014, 10月 15やっぱ Web サイトが楽でいいと思います。まる。
