「POODLE SSL 3.0の脆弱性」

Business::Paypal::NVPの中身をみるとLWP::UserAgentを使ってるんだけど
特に流れのなかで、SSL_version（SSL2.0, SSL3.0, TLSv1, TLSv1.1, TLSv1.2）等を指定してそうになかったので、
デフォルトの挙動を調べてみた。

LWP::UserAgentでhttps通信する場合、IO::Socket::SSLのSSL_versionに依存してくるようだけど、
「podのSSL_version」の項目をみてみると、以下のように書いてある。

「’SSLv23′ uses a handshake compatible with SSL2.0, SSL3.0 and TLS1.x」
・SSLv23という指定だと、SSL2.0とSSL3.0とTLS1.xが使えるぞ

「The default SSL_version is ‘SSLv23:!SSLv3:!SSLv2′」
・デフォルトの指定は、SSLv23が入っている。

ということで、SSLv23という指定だけども、TLS1.xはdefault状態で使えるということっぽい。
まぎらわしい感じするけど、そういうことらしい。