Macos Brawte nfaq 0 Comments

TLS 1.0、1.1の終焉がいよいよ到来: Firefoxは脆弱なHTTPS標準をブロックすることで「根絶」しようとしている

Table of Contents

TLS 1.0、1.1の終焉がいよいよ到来: Firefoxは脆弱なHTTPS標準をブロックすることで「根絶」しようとしている

Mozilla Firefox では、2020 年 3 月から TLS 1.0 または 1.1 プロトコルを使用して Web サイトに接続するにはユーザーの介入が必要になり、最終的にはこれらの脆弱な HTTPS 接続を完全にブロックする予定です。

TLS 1.0 と 1.1 に関する問題については、しばらく前から耳にしています。Web サーバーは、暗号化された安全な HTTPS 接続を実現するために、TLS 1.2 または 1.3 を使用するべきです。

クレジットカード取引を扱うサイト向けのPCIデータセキュリティ基準(PCI DSS)では、2018年7月1日以降、少なくともTLS 1.1の使用が義務付けられています。しかしながら、ほとんどのユーザーがウェブブラウザで警告以上の情報を確認できるようになるのは今年3月以降で、一部のブラウザでは警告が表示されない場合もあります。本日、様々なウェブブラウザでTLS 1.0を実行しているウェブサイトを確認しました。以下のブラウザが対象です。

  • Google Chrome 80 では、「このサイトへの接続は完全には安全ではありません。このサイトは古いセキュリティ設定を使用しています。」と表示されます。
  • Firefox 72 で警告: 「接続は安全ではありません。このページでは弱い暗号化が使用されています。」
  • Safari 12.1 では警告は表示されず、「Safari は暗号化された接続を使用しています。」と表示されます。
  • Microsoft Edge Chromium では警告は表示されず、「接続は安全です。」と表示されます。
  • Microsoft IE 11 では警告は表示されず、「サーバーへのこの接続は暗号化されています」というメッセージが表示されます (ただし、インターネット オプションでこれらのプロトコルをブロックすることはできます)。
  • Brave 1.2.43 では警告は表示されず、「接続は安全です。」と表示されます。
  • Vivaldi 2.10.1745 では警告は表示されず、「接続は安全です。」と表示されます。

Safariは今日、TLS 1.0接続に関して何も問題はないと報告している

Safariは今日、TLS 1.0接続に関して何も問題はないと報告している

すべてが変わりつつあります。Appleは「2020年3月以降、Apple iOSとmacOSのアップデートでSafariの完全なサポートが削除されます」と述べています。GoogleはChrome 81(3月17日リリース予定)でTLS 1.0と1.1のサポートを削除すると発表しました。Microsoftも「2020年前半」に同様の対応を行うと発表しました。

近々リリースされるFirefox 73のTLS警告

近々リリースされるFirefox 73のTLS警告

Mozillaは、その方針を明確に示しました。来月から、TLS 1.0または1.1で動作するサイトにアクセスしたユーザーは、すぐには接続されず、「安全な接続に失敗しました」という警告画面が表示されます。この設定を上書きするオプションがあり、その場合はすべてのサイトで上書きされます。

Mozillaの暗号化エンジニアリングマネージャーであるThyla van der Merwe氏は次のように述べています。「今のところ、オーバーライドボタンは残す予定です。収集しているテレメトリから、このボタンの使用頻度についてより詳細な情報が得られます。これらの結果に基づき、いつこのボタンを完全に削除するかを決定します。このボタンが長期間残る可能性は低いでしょう。私たちは、TLSの脆弱なバージョンを完全に排除することに尽力しています。」

Firefoxがサイトごとに上書きを許可しない理由について、既にあるユーザーから質問が寄せられています。「グローバルフォールバックを採用することにしました」とファン・デル・メルウェ氏は述べましたが、その理由は明らかにしませんでした。

SSL PulseのデータはTLS 1.2の幅広い支持を示している

SSL PulseのデータはTLS 1.2の幅広い支持を示している

これは問題を引き起こすでしょうか? SSL Pulseによると、最もアクセス数の多い上位15万のウェブサイトに基づいてTLSバージョンの統計情報を提供しています。それによると、96.8%がTLS 1.2をサポートしています。ただし、71.5%はTLS 1.1もサポートしており、61.5%はTLS 1.0もサポートしているため、これらの古いバージョンを使用して接続することは可能ですが、必須ではありません。

そのため、ほとんどのサイトは変更への対応準備が整っています。ただし、非推奨のTLSバージョンを使用してWebサービスに接続するアプリケーションには問題が発生する可能性があります。例えば、.NET Framework 4.5以下で構築されたアプリは、デフォルトでTLS 1.2を使用しないため、エラーが発生する可能性があります。これは、レガシーアプリケーションをアップグレードするもう一つの理由です。もう一つの問題は、古い携帯電話です。Androidは2012年のバージョン4.1(Jelly Bean)までTLS 1.2をサポートしていませんでした。

管理者が Web サーバーをアップグレードして TLS 1.2 以降をサポートすることを怠っていた場合、2020 年 3 月が警鐘となるでしょう。®

Macos

Smart Recommendations

Discover More