The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications. |
2009年11月に入ってからTLS/SSLに介入者攻撃を可能にする脆弱性(CVE-2009-3555)があるというニュースが伝えられた。
この脆弱性を利用されると介入者がプロトコルストリームのはじまりの段階で任意の量のプレインテキストを挿入することが可能になる。HTTPとの組み合わせで調査されているが、ほかのプロトコルとの組み合わせでも同様の問題が発生する可能性があり、しかもこの脆弱性は実装側では抜本的な対処が難しい。OpenSSLは同脆弱性の原因となる処理をそもそも無効にするバージョンをOpenSSL 0.9.8lとして公開している。
25日(英国時間)、NetcraftはHTTPSを活用している有名サイトトップ100のうち、24のサイトが同脆弱性に対処したようだと発表。残りの76のサイトには依然として同脆弱性が残ったままになっており介入者攻撃を受ける可能性があることを伝えている。
脆弱性が残っているサイトには銀行や商取引のサイトも含まれている。脆弱性に対処した24のサイトのうち7つはGoogleが提供しており、ほかの7つのサイトはMicrosoft IIS 6.0で稼動していると報告されている。
