Google、「Chrome 40」でSSL 3.0を完全無効化へ

[鈴木聖子，ITmedia]

　SSL 3.0に「POODLE」と呼ばれる深刻な脆弱性が見つかった問題で、米Googleは12月下旬にリリースする予定のWebブラウザChromeの安定版「Chrome 40」でSSL 3.0を完全に無効にする計画を明らかにした。

　Googleのセキュリティ担当者によると、まずChrome次期バージョンの「Chrome 39」でSSL 3.0へのフォールバック機能をデフォルトで無効にする。この機能が有効になった状態では、HTTPSサーバのバグによりページに接続できない場合、攻撃者がネットワーク経由でSSL 3.0を使ったHTTPS接続を強要することが可能だった。

　安定版のChrome 39は11月18日ごろにリリースされる見通し。SSL 3.0へのフォールバック機能は、Chromeプレ開発者版の「Canary」と開発者版の「Dev」、およびβ版では既に無効になっている。

　SSL 3.0を完全無効化するChrome 40は12月30日ごろリリースされる見通し。これに先立ちChrome 39ではSSL 3.0を使ったWebサイトの鍵アイコン上に黄色いバッジを表示して、Chrome 40がリリースされるまでに少なくともTLS 1.0にアップデートするよう促す。

　POODLEの脆弱性を巡っては、Microsoftも今後数カ月以内にInternet Explorer（IE）でSSL 3.0へのフォールバック機能を無効にするとともに、IEおよび同社オンラインサービス全般でSSL 3.0をデフォルトで無効にする計画を明らかにした。

　MozillaのFirefoxも11月25日にリリース予定の「Firefox 34」からSSL 3.0がデフォルトで無効になる。