Azure CDN

Azure の CDN は SSL 3.0 が既に無効化されていました。これにより CSS や画像などのリソースが読み込めないという現象が発生する可能性が出てきます。

これは Azure 側が無効化したというよりも、EdgeCast が SSL 3.0 を無効化したという話でしょうけど。

Azure Storage

CDN は SSL 3.0 が無効化されていましたが、Blob などのストレージに関しては有効なままでした。Blob に関して SSL 3.0 をオフにしたい場合には CDN を経由させるのが良さそうです。

Microsoft Ajax CDN

Microsoft Ajax CDN も SSL 3.0 が無効になっていました。と言うか Azure CDN の時と同じ IP アドレスなので、Ajax CDN は EdgeCast を使って運用されていることがわかります。

Azure CDN や Microsoft Ajax CDN に限らず、jQuery や Bootstrap などの CDN 系は Google Hosted Libraries ぐらいしか 3.0 が有効になってない感じがしました。とても対応が早いです。

Azure Web サイト

今のところ、サーバー側で SSL 3.0 を強制的にオフにするという考えはないように思えます。

@kjartanvalur @nirmsk @jonsagara @scottgu @davidebbo @bilalalam123 you can disable it in the browser. Looks like everyone's going to disable

— Scott Hanselman (@shanselman) October 16, 2014

No.1 に教えてもらった会話ですが、ハンセルマン的にはブラウザでオフにすればいいよと言う感じ。

と言うか、マルチテナントである Azure Web サイトでは、簡単にサイトごとに SSL 3.0 のオンオフ機能とかを実装出来ない事情があります。Web サイトと言うか Windows の制約という感じですが。*1

しかし David Ebbo 的には ARR と Site Extensions で SSL 3.0 での接続はさせつつも、コンテンツは表示させないという方法を検討しているようです。ちなみにインストールしてもまだ動作しません。

これだとクッキーをデコードされる危険性は残りますが、ユーザーに SSL 3.0 をオフにして TLS を使えと言う意思表示にはなるのかなと。

ちなみに同じ PaaS である Heroku はさっさと SSL 3.0 をオフにしているようです。

おまけ - Azure MVP の意見

サービスだけ見たらオフにしてうっせークライアントでTLS使うようにしろよm9(^Д^) でもいいんだろうけどなー（Twitterとか）

— こすもす.えび (@kosmosebi) October 16, 2014

プロトコルの欠陥なら、無効にするしかないんじゃないか。MSだけの問題では無いし。XPのIE向けにパッチ配るかは問題な気がするけど。 #よく分かってないけど

— Takekazu Omi (@takekazuomi) October 16, 2014

個人的には SNI SSL の時は暗黙的に SSL 3.0 無効とか出来ればいいなと思いましたが、こういうのは落としどころが結構難しそうです。