レビュー

「Firefox」の“SSL 3.0”対応を無効化できる拡張機能「SSL Version Control」

Mozilla公式。「Firefox 34」で標準無効化されるまでの対策として活用しよう

「SSL Version Control」v0.2

 「SSL Version Control」は、「Firefox」の“SSL 3.0”対応を無効化できる拡張機能。「Firefox」v20.0以降に対応するフリーソフトで、編集部にてWindows 8.1上の「Firefox」v33.0で動作を確認した。ライブラリサイト“Add-ons for Firefox”から無償でダウンロードできる。

 “SSL 3.0”には暗号化トラフィックの一部が解読されてしまう恐れのある極めて深刻な脆弱性、いわゆる“POODLE”脆弱性が存在する。“SSL 3.0”は約18年に渡って利用されてきた古いプロトコルであり、後継と位置付けられる“TLS”がすでに多くの環境で利用できるので、これを機会に無効化しておくとよいだろう。

 「Firefox」の場合、11月25日(米国時間)にリリースが予定されている「Firefox 34」から“SSL 3.0”が初期状態で無効化される(“Nightly”ビルドではすでに無効化済み)。それまではユーザー自身の手で“SSL 3.0”を無効化する必要がある。“about:config”の“security.tls.version.min”を“0”から“1”へ変更すれば、“SSL 3.0”を無効化できる。

 また、“about:config”を編集することに抵抗のある人にために、Mozillaが公式に“SSL 3.0”を無効化する拡張機能「SSL Version Control」を提供しているので、そちらを利用してもよい。

 本拡張機能は、インストールするだけで“SSL 3.0”を無効化することが可能。さらに、設定画面のプルダウンメニューでセキュア接続に利用するプロトコルの最低バージョンを“SSL 3.0”から“TLS 1.2”の間で選ぶこともできる。もしどうしても“SSL 3.0”を利用する必要がある場合は、最低バージョンを“SSL 3.0”へ設定すればよい。

設定画面のプルダウンメニューでセキュア接続に利用するプロトコルの最低バージョンを“SSL 3.0”から“TLS 1.2”の間で選ぶことも

 なお、本拡張機能はAndroid版「Firefox」、「Thunderbird」、「Seamonkey」といったすべてのMozilla製品で利用できるとのこと。

ソフトウェア情報

「SSL Version Control」
【著作権者】
Mozilla
【対応OS】
(編集部にてWindows 8.1で動作確認)
【ソフト種別】
フリーソフト
【バージョン】
0.2(14/10/15)