障害・メンテナンス情報 【重要】SSLv3 の脆弱性「POODLE」の対応について

2014.10.16

日本時間 2014 年 10 月 15 日(米国時間 14 日)、OpenSSL チームより Secure Socet Layer version 3(以下SSLv3)において、プロトコルレベルでの脆弱性が存在することが発表されました。

Twilio のサービスを利用する上で、お客様の Web サーバにおいて SSLv3 をご利用のお客様はできるだけ早く利用を停止し、Transport Layer Service (以下TLS)にアップグレードしていただくようお願いしております。

現在、多くのお客様の Web サーバおよびクライアントがまだ TLS に対応していないことから、Twilioは直ちに SSLv3 によるアクセスを無効化することができず、以下に記すような流れで対応を進めます。この対応では、以下に該当するアプリケーションで SSLv3 をご利用のお客様に影響がございます。

  1. REST API 経由での電話・SMS リクエスト
  2. webhook による着信電話・SMS リクエスト

これらのお客様は、以下のように対応を行ってください。

REST API経由での電話・SMSリクエスト

Twilio 公式ヘルパーライブラリを用いて、異なる HTTP クライアントへ REST API 経由で通信を行うものについては、脆弱性に対応するため、できるだけ早く Web サーバ側で SSLv3 を無効化してください。

Twilio は、日本時間 2014 年 10 月 23 日 01:00(協定世界時=UTC 22 日 16:00)をもって SSLv3 による通信を終了します。以降は TLS のみ対応します。よって、お客様の Web サーバが Twilio と SSLv3 のネゴシエーションを行う設定の場合、または、SSLv3 のみで通信を行う設定にされている場合、できるだけ早くお客様の Web サーバで TLS にアップグレードしてください。

webhookによる着信電話・SMSリクエスト

Twilioは、日本時間 2014 年 10 月 23 日 01:00(協定世界時=UTC 22日 16:00)をもって SSLv3 による通信を終了します。以降は TLS のみ対応します。よって、お客様の Web サーバが SSLv3 のみで通信を行う設定にされている場合、できるだけ早くお客様の Web サーバで TLS にアップグレードしてください。

SSLv3 を無効化するには

ご利用のWebサーバの仕様をご確認頂き、SSLv3 を利用しない設定としてください。以下のプラットフォームについては、こちらのリンクを参考にしてください。

Twilio for KDDI Web Communications では随時、公式サイトのニュースリリースでセキュリティに関する情報を開示しています。

ご不明点がございましたら公式ページに御座いますお問い合わせフォームよりお問い合わせください。

この記事をシェア


すべての記事へ