2015年1月20日のクリティカル・パッチ・アップデートのリリース(JDK 8u31、JDK 7u75、JDK 6u91以上)以降、Java Runtime Environmentでは、SSLv3がデフォルトで無効になっています。これらのリリース以上が実行されていることを確認した場合、これ以上の操作は必要ありません。

前のリリースについては、Javaが使用される、あらゆる状況で、JavaアプリケーションでJava SEのSSL v3.0が使用されないようにする方法について、アプレットとWeb Start用のSSLv3の無効化に関する背景と手順、および開発者とシステム管理者向けの詳細な手順をOTNで提供しています。

背景

POODLEの脆弱性(CVE-2014-3566)により、Secure Socket Layer (SSL) v3プロトコルの深刻な欠陥が見つかりました。SSLv3プロトコルは推奨されておらず、前述のとおり、Java Runtime Environmentでの使用が無効化されています。どうしてもSSLv3を再度有効化する必要があるユーザーは、該当するリリース・ノートを参照してください。

ただし、ほとんどのユーザーはJavaをブラウザ(アプレットおよびWebStart)のみで使用します。次に、SSL 3.0が有効かどうかを確認する方法(およびこれを無効化する方法)の簡単な手順を示します。

アプレットおよびWebStartでのSSLv3の無効化

Javaコントロール・パネルを使用して、プラグインおよびWebStartのOracle Java実装を構成できます。

「詳細」タブの「高度なセキュリティ設定」セクションで、次に示すようにSSLプロトコル/フォーマットの選択を解除し、TLSのみを有効化したままとします(2015年1月20日のリリース以降、SSLv3は選択可能なオプションとして表示されません)。

注意: ブラウザが開いた状態のままコントロール・パネルで行った変更は、ブラウザを再起動した後にのみ有効になります。変更を有効にするには、Java WebStartアプリケーションも再起動する必要があります。

Javaコントロール・パネル - 8u31、7u75および6u91より前のバージョン

2015年1月のクリティカル・パッチ・アップデートのリリースの詳細は、該当するリリース・ノートで参照できます。

• Java 8 Update 31 (OTNのリリース・ノート)
• Java 7 Update 75 (OTNのリリース・ノート)
• Java 6 Update 91 (OTNのリリース・ノート)