OpenSSL Poodleの脆弱性に対応して、SSLv3を無効にする必要がありますか？

OpenSSLがメモリルーチンに新たな脆弱性を発表しました。あなたはそれについてここですべて読むことができます：https：//www.openssl.org/news/secadv_20141015.txt

回避策は、SSLv3を無効にすることです。

• これにより、当社のWebサイトでHTTPSが完全に無効になりますか？
• まだSSLv3に依存しているクライアントはありますが、それらのサポートについて心配する必要がありますか？

いいえ、WebサイトへのHTTPS接続は切断されません。TLSv1（およびソフトウェアが十分に新しい場合は新しいバージョン）は、ほぼすべてのブラウザーで既に使用されています（Windows XP上のIE6の注目すべき例外を除く）。

構成でTLSv1が有効になっていることを確認しますが、ほとんどすべてのサーバー側SSL構成ではデフォルトで有効になっています。

はい、SSLv3を無効にする必要があります。TLSが失敗した場合、ブラウザはSSLv3などの古いプロトコルを使用しようとするため、プードルが機能します。MITMはこれを悪用する可能性があります（新しいTLS SCSVがクライアントとサーバーでサポートされていない限り、Chromeのみがatmをサポートします）。プードル攻撃の詳細に関する非常に優れた記事については、https：//security.stackexchange.com/q/70719を参照してください。

SSLv3はいくつかの点で壊れており、15年前にTLSに取って代わられたため、この問題に対処する最善の方法は無効にすることです。WebサイトでSSLv3を使用していて、XP上のIE6を気にしない場合（XP上のIE7は問題ありません）、それを無効にしても安全です。

SSLv3を無効にすることの実行可能性は、関連する質問で議論されています：プードル：サーバーでSSL V3を無効にすることは本当に解決策ですか？

その間、サイトでテストを実行して、他の問題がないか確認することをお勧めします：https : //www.ssllabs.com/ssltest/