SSL 3.0の脆弱性が見つかったとのことで話題になっています。
・Google、SSL 3.0の脆弱性「POODLE」の発見と対策について説明 – ITmedia ニュース
該当するかどうか確認するにはたぶん以下のコマンドを叩けばok
curl -sslv3 -kv https://ホスト
これでレスポンスが返ってきたらだめ。
JettyをフロントWebサーバにしている環境ってあんまり多くなさそうだけど自分の会社ではhttpsのサイトだけJettyがフロントに立ってる。
調べたところJettyでは以下のように対策すればOk。自分のサイトではjetty.xmlではなくjetty-ssl.xmlだった。
・java – How do I disallow particular SSL protocols in Jetty? – Stack Overflow
うまくSSL v3を無効化できたらcurlを叩いた結果がこんな感じになる
追記:
Intalio(Jetty開発者がたくさんいるコンサルティング会社)の中の人からも設定方法のメモが公開されました。