さまざまなサイトの対応状況
人気の高いコンテンツデリバリーネットワーク(CDN)であるAkamaiは、SSL 3.0の撤廃を加速させており(現在90%完了している)、Secure CDN顧客については、2014年10月下旬~11月上旬に完了するはずだ。同社は、レガシーシステムを対象とするTLS_FALLBACK_SCSVの段階的導入にも取り組んでいるが、このパッチをサポートするブラウザはほとんどないので、短期的にはその恩恵を受ける人は誰もいない、と言及している。SSL 2.0トラフィックは現在ブロックされており、SSL 3.0だけをサポートする顧客に対しては、できるだけ早くアップグレードするよう促している。
CloudFlareはすべての顧客を対象にSSL 3.0のサポートをデフォルトで無効にした。ビジネス顧客とエンタープライズ顧客はSSL 3.0を手動で有効にできるオプションを利用できるが、CloudFlareはユーザーに対して、それを実行しないことを強く勧めている。同社の調査結果によると、HTTPSトラフィックのうち、SSL 3.0を使用しているのはわずか0.65%だという。その大半は攻撃トラフィックとクローラーだと同社は見なしている。さらに、Windows XPが「本物の訪問者のトラフィック」全体に占める割合はわずか3.12%で、それらのユーザーのうち、SSL 3.0を使っているのはわずか1.12%だ、と同社は指摘した。
Twitterは同社サービスでSSL 3.0のサポートを即座に終了することを発表し、ユーザーはTLS 1.0以上をサポートするブラウザの使用を余儀なくされている。
Mozillaは、ユーザーがSSL 3.0を即座に無効にできるエクステンションを公開した。米国時間2014年11月25日にリリースされる「Firefox 34」では、SSL 3.0はデフォルトで無効化される予定だ。「Firefox 35」でSCSVのサポートを追加する計画も進行中である。
Möller氏はGoogle公式ブログへの投稿で、「Google Chrome」は2014年2月からSCSVをサポートしていることを表明している。また、SSL 3.0のサポートは「数カ月以内」にクライアント製品から完全に廃止される予定だという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
