SSL 3.0の廃止を求めるRFC 7568がリリースされる

　Internet Engineering Task Force（IETF）がSSLv3の廃止を求めるRFC 7568を公開した（マイナビニュース）。

　1996年にリリースされたSSLv3プロトコルはすでに安全とは言えず、1999年にリリースされたTLS 1.0よりも脆弱であるとし、すでに十分脆弱だと考えられているSSLv2と同様SSLv3も利用をやめるべきだとしている。

　このRFCではSSLv3の問題点について、SSLv3が利用しているCipher Block Chaining（CBC）の脆弱性や鍵交換の際に中間者攻撃を受ける可能性がある脆弱性、SHA-1やMD5といった弱いハッシュ関数に依存した構造などを指摘し、また後継となっているTLSと加えてSSLv3は機能が欠如している点についても述べられている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット

　関連ストーリー：
クレジットカード処理におけるTLS 1.0の使用が非推奨に 2015年06月01日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
SSL 3.0の脆弱性「POODLE」はTLSにも影響する 2014年12月12日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日