主要なブラウザでTLS 1.0/1.1 がついに無効化。対象のwebサイトは早急なご対応とご案内を
2020.02.27 Posted by watanabe.k
既に御存知かもしれませんが、2020年の上半期中に主要なブラウザ全てで、TLS 1.0/1.1のサポートが終了します。
chrome、Safari、Firefoxでは一足早く、3月にサポートが終了するとアナウンスも出ています。
各ブラウザの公式アナウンス
- chrome
https://security.googleblog.com/2018/10/modernizing-transport-security.html - Safari
https://webkit.org/blog/8462/deprecation-of-legacy-tls-1-0-and-1-1-versions/ - Firefox
https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/ - Microsoft EdgeおよびInternet Explorer 11
https://blogs.windows.com/msedgedev/2018/10/15/modernizing-tls-edge-ie11/
これによりTLS 1.0/1.1にのみ対応しているサーバーを利用しているサイトは、上記ブラウザで順次閲覧できなくなります。
TLSとは
そもそもTLSが何か知らない方のために説明しますと、
TLSとは、インターネット上でデータを暗号化するプロトコルです。プロトコルというのは通信上の決まりみたいなものです。
つまりTLSとは安全に通信をやりとりするための仕組を指し、通信途中での傍受やなりすましによる情報漏洩を防ぐ目的で利用されています。
似たような言葉でSSLがあり、こちらのほうが広く認知されているかもしれません。
SSLはTLSの前身のようなもので、1999年に暗号化プロトコルのSSLの後継としてTLS 1.0が登場しています。
SSLの歴史をたどると、1994年に「SSL2.0」がリリースされ、その脆弱性を克服した「SSL3.0」が1995年にリリースされていました。
しかし、2014年にはSSL3.0で仕様上の脆弱性が発見されたため、2015年にはSSL3.0の使用は禁止されているという背景があります。
安全な通信を実現するためにSSLに変わりTLSが誕生したわけですが、2006年には改良を加えた「TLS1.1」がリリース、さらに2008年には「TLS1.2」がリリースされました。そして2018年8月には最新版の「TLS1.3」が登場しています。
1999年の登場から20年以上もの月日がたつTLSですが、TLSの古いバージョンである「TLS1.0」「TLS1.1」は設計が古く、多くの攻撃に対して脆弱性があると指摘されています。
こうした背景から、ブラウザ自体が古いTLSへのサポートを終了するという流れができたと考えられます。ブラウザ自体がサポートを行わないことで、脆弱性のあるプロトコルを悪用した攻撃が不可能になるのです。
もし、古いバージョンのTLSを利用したサイトは今後表示されなくなるため、3月が来る前に、Webサイトが利用できなくなるアナウンスも必要になるでしょう。
TLSのバージョンの確認方法と対応方法
ブラウザのTLS旧バージョンのサポート終了に伴い、古いOSやブラウザを使用しているユーザーに向けて、ブラウザのバージョンアップやブラウザの設定変更をアナウンスする必要があります。
まずchromeの場合
- 画面右上の 「…」から「設定」を選び、遷移した画面で左上の「設定」をクリック。
一番下の「Google Chromeについて」を選択します。 - 表示される画面でGoogle Chromeのバージョンが確認できます。
2020年2月2日の時点では、このように表示されます。
Google Chrome は最新版です
バージョン: 79.0.3945.130(Official Build) (64 ビット)
バージョン78以上であれば問題ありませんが、GoogleChrome29以前ではエラーが起こる可能性があります。
この場合は、バージョンアップを行いましょう
Internet Exploer
- 画面右上のメニューバーより「ツール」より「バージョン情報」を選択。
- 表示される画面でInternet Exploerのバージョンが確認できます。
※Internet Explorer 10以前ではエラーが起こる可能性があります。 - TLS1.2以上に変更する場合は、画面右上のメニューバーより「ツール」より「インターネットオプション」を選択。
- 「詳細設定」タブを選択し、「TLS1.2の使用」にチェックを入れて「OK」ボタンを選択。
- ブラウザを再起動することで有効となります。
まとめ
自身のWebサイトが古いTLSを使用している場合は、早いうちにTLSのバージョンアップを行うとともに、ユーザーに対してブラウザの設定変更やバージョンアップのアナウンスを行いましょう。
関連記事こちらの記事も合わせてどうぞ。