Lync vs POODLE

こんばんは、 Lync サポートの吉野です。
本日は最近話題の SSL 3.0 の脆弱性についてです。

といっても、本ブログは Lync に関するブログですので、脆弱性そのものについては以下をご参照ください。
クライアント側、サーバー側で無効化する方法も書かれております。

Lync 観点で言いますと、以下のようになります。

Q. そもそも Lync では影響はあるの？

A. あまりありません。 Lync のメインプロトコルである SIP は TLS ですし、一部の HTTPS 通信（アドレス帳検索や Web 会議関連）でも通常であればデフォルトで TLS が使われます。

Q. じゃあ SSL 無効化しなくても平気？

A. しておいたほうがいい、とは言えます。 Lync Server 上では IIS が動作していますし、攻撃者が TLS での通信を失敗させて SSL を利用させる・・・ということができるためです。

Q. 無効化した場合、利用できなく機能はある？制限はある？

A. ありません。

Q. クライアントとサーバーどちらで無効化にするべき？

A. もちろん両方ですが、 Lync Server 以外のアプリケーションで SSL を使っているならばサーバー側だけしかできない、という環境はあるかもしれません。

Q. Office 365 （Lync Online) の場合はどうすればいい？

A. 上記の手順にて IE のインターネットオプションより SSL 3.0 を無効にしておいてください。なお、12月以降、サーバー側でも SSL 3.0 は受け付けなくなります。

以上駆け足ですが説明させていただきました。
引き続き安心な Lync ライフを満喫ください。

Additional resources