システム管理者やネットユーザーの皆さん、銀行やEl Regなどの HTTPS ウェブサイトへの接続を安全にするために使用される暗号化技術である Transport Layer Security (TLS) の古くてバグだらけで安全でないバージョンを廃止することに真剣に取り組むべきときが来ています。
まず、Web ブラウザーのメーカーは協調的な廃止計画を打ち出しており、Web サイトがまだ TLS 1.0 または 1.1 を使用していて、それより新しいバージョンを使用していない場合、ブラウザーはすぐにそのサイトを安全でないとフラグ付けするか、接続できないというエラーを表示します。
インターネット技術タスクフォース(IETF)は、2019年1月に20周年を迎えるTLS 1.0とTLS 1.1の埋葬時期について、今年6月から検討を進めてきました。この件に関するインターネットドラフトは、インターネット標準化団体による「die die die(死ぬ気満々)」勧告を今年後半に正式化する見込みです。このドラフトが標準化されると、IETFはTLS 1.0および1.1における新たなプロトコル脆弱性の修正を停止します。
TLS 1.3が標準として承認、スパイは嘆く
続きを読む
マイクロソフトは月曜日、「Microsoft Edgeにおける1日の接続のうち、TLS 1.0または1.1を使用しているのは1%未満」だと述べた。レドモンド氏によると、EdgeとInternet Explorerは来年前半にTLS 1.0と1.1のサポートを終了する予定で、他の主要ブラウザは2020年にサポートを開始するため、マイクロソフトは他社に先んじている。
WebKitの関係者は月曜日に期限をさらに延長し、「2020年3月以降」iOSおよびmacOSのSafariのサポートを終了すると発表した。WebKitのデータによると、古いプロトコルの継続的な使用はMicrosoftの測定とほぼ一致しており、具体的には「SafariからのTLS接続の0.36%」となっている。
WebKit の開発者は、バグレポートまたは電子メールを通じて、「アップグレードできないレガシー サービスまたはデバイス」があるかどうかも知りたいと考えています。
Mozilla Firefoxも2020年3月から、テレメトリで検出されたTLS 1.1接続の0.1%を対象に廃止を開始します。この廃止は、プレリリース版(ベータ版、開発者版、ナイトリービルド)の早い段階で反映されます。
Googleは今週、ChromeブラウザからのTLS 1.0/1.1接続率が0.5%であり、2020年1月に早期リリースチャネルで廃止が開始されると発表した。®
