Tag Archives: LWP

LWP::UserAgentのSSL_Versionについてのメモ

1
Filed under perl
Tagged as , , ,

とある案件でBusiness::Paypal::NVPが使われてるものがあって、
Paypalさんが、「POODLE SSL 3.0の脆弱性」の対応のために、TLSだけに制限しますよっていうのを
言ってて、ちょっと確認したけどわかりにくかったので、メモしておきます。

POODLE SSL 3.0の脆弱性

Business::Paypal::NVPの中身をみるとLWP::UserAgentを使ってるんだけど
特に流れのなかで、SSL_version(SSL2.0, SSL3.0, TLSv1, TLSv1.1, TLSv1.2)等を指定してそうになかったので、
デフォルトの挙動を調べてみた。

LWP::UserAgentでhttps通信する場合、IO::Socket::SSLのSSL_versionに依存してくるようだけど、
podのSSL_version」の項目をみてみると、以下のように書いてある。

「’SSLv23′ uses a handshake compatible with SSL2.0, SSL3.0 and TLS1.x」
・SSLv23という指定だと、SSL2.0とSSL3.0とTLS1.xが使えるぞ

「The default SSL_version is ‘SSLv23:!SSLv3:!SSLv2′」
・デフォルトの指定は、SSLv23が入っている。

ということで、SSLv23という指定だけども、TLS1.xはdefault状態で使えるということっぽい。
まぎらわしい感じするけど、そういうことらしい。