SSLv2に含まれる脆弱性(DROWN)について

ウェブサイトを閲覧するときのお話です。
「http://~」ではなく「https://~」で始まるURLへアクセスすると、なんだか安心感がありますよね。

SSL認証の鍵マーク
SSL認証の鍵マーク

この鍵マークがあれば『サーバーとの通信が暗号化されていますよ』ということなのですが、この暗号化された通信であっても『解読される恐れがある』という脆弱性が発見されました。

あまり不安を煽りすぎるのもどうかと思うのですが、発見された脆弱性を突いて悪意のある第三者が暗号化を解読する可能性があるのは、
・HTTPSサーバーがSSLv2で接続可能な場合
・SSLv2で接続できる他のサーバーで同じ秘密鍵を使い回している場合
であり、現在のWEBサーバーの主たる設定ではありません。
※現在はSSLと表記していても、技術的後継であるTLSに移行しています。

しかしながら…
・未だHTTPSサーバーの17%でSSLv2接続を行って
おり、
・秘密鍵を使い回ししているHTTPSサーバーが16%存在
するそうです。

企業のサーバー管理者の皆様、「SSL/TLSを導入しているから安心」だと思っていませんか?
ご自分の企業のWEBサーバーはお客様へ安心できるセキュリティを提供できているでしょうか?
是非一度ご確認ください。
ご不明な場合はご相談もお承りいたします。

参考リンク:
The DROWN Attack(研究者たちが立ち上げたDROWNに関する情報ページ) → 外部リンク
全HTTPSサイトの33%でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布 → 外部リンク
SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明 → 外部リンク