SSL 3.0の脆弱性「POODLE」。
見つかったのは去年の秋が終る頃だったかな?
ちょっとよく覚えてないですけど、とにかくそのころ見つかって、対策なんかも色々と紹介されてたりしてたのって結構覚えている人も多いと思うんですけど、これ絡みの問題でハマったので今回はその話。
って言っても、脆弱性をついた攻撃を受けたとかではなく、以下の様な感じ。
先日、ある決済サービスから「POODLE 対応のために SSL 3.0 での通信を遮断する対応を行う」という通知が来ました。
なので、「TLSなどを使って通信するようにしてくれ」って話だと理解。
この手の話は昨年末あたりから色々なところから言われていたり、自分たちのサーバーでも通信を遮断する対応を行っていたので、今回問題が起こったサーバーに関しても他のシステムとの通信自体は確認していたので「はいはい」と言う感じで流していました。
が、その決済サービスに関しては、POODLE対応が実施されたと思われる時間帯から、全く通信が出来なくなったのです...