はーめんどうくさい。
概要はしばやん雑記とか見てください。
クライアント側はIEであれば詳細オプションでSSL 2.0/3.0のチェック外せばいいでしょう。
サーバーサイドでSSL 3.0を使わないようにするにはレジストリ弄ります。(Windows/IISの場合)そのへんはしばやん先生のBlogへどうぞ。
Azure WebサイトはSSL 2.0は無効にされててSSL 3.0無効化はもうちょっと待つ必要がありそうですね。自分で管理する必要がないマネージドなサービスの良し悪しというところです。
半分PaaSなクラウドサービスはそのうち対策済みのGuest OSがリリースされますが、待てない場合はStartup TaskでSSL 3.0を無効にするようにして再デプロイか、現在のインスタンスにログインして手動でレジストリ弄った後再起動しましょう。(←この場合、何かあった時に戻る可能性があるので注意)
IaaSな仮想マシンの場合はOSより上は自己責任なので、自分できちんとケアしましょう。PowerShell DSC使うならこんな感じですかね
Registry Disable-SSL2
{
Ensure = 'Present'
Key = 'HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server'
ValueName = 'Enabled'
ValueData = '0'
ValueType = 'Dword'
}
Registry Disable-SSL3
{
Ensure = 'Present'
Key = 'HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server'
ValueName = 'Enabled'
ValueData = '0'
ValueType = 'Dword'
}
Linux系も基本同じように対策が必要かと思います。AWS環境のPOODLE脆弱性対応 (CVE-2014-3566)を参考にどうぞ。
ブチザッキ 