SSL/TLS SSLv3の無効について

[nobu321]

ネットワーク脆弱性診断を受けた結果、TSL SSLv3を無効にするように指摘を受けています。
無効への対応可否、具体的な対応内容、対応した場合の影響、対応できない場合,あるいは対応しなくても問題ない等
の見解を頂けませんか？

・SSL/TLS SSLv3有効
1)説明
SSL v3をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle on Downgraded
Legacy Encryption (POODLE)攻撃の影響を受ける可能性がある。

2)想定の影響
　中間者攻撃により通信内容を解読される可能性がある。

3)対策
　SLLv3を無効かする。
　製品でTLS_FALLBACK_SCSV がサポートされている場合は、TLS Fallback Signaling Cipher Suite Value(SCSV)
　を有効にする。

対象のプロダクト
・SoftEther VPN Ver4.20

[cedar]

設定ファイルの「AcceptOnlyTls」の項目を修正することで SSL 3.0 の着信を無効化できます。