2020年には主要なブラウザでTLS1.0とTLS1.1が無効化される予定

by William Krapp

「TLS」とは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコルの一種です。ネットスケープコミュニケーションズが1990年代中頃に開発した暗号化プロトコルである「SSL」の後継として、インターネット技術タスクフォース(IETF)によって策定されたTLSについて、主要ブラウザが2020年をめどに古いバージョンであるTLS1.0、TLS1.1のサポートを終了することが発表されました。

Google Online Security Blog: Modernizing Transport Security
https://security.googleblog.com/2018/10/modernizing-transport-security.html

Removing Old Versions of TLS | Mozilla Security Blog
https://blog.mozilla.org/security/2018/10/15/removing-old-versions-of-tls/

Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020
https://thehackernews.com/2018/10/web-browser-tls-support.html

ネットスケープコミュニケーションズが開発したSSLは1994年に「SSL2.0」がリリースされ、その脆弱性を克服した「SSL3.0」が1995年11月にリリースされました。しかし、2014年にはSSL3.0について仕様上の脆弱性が発見されたため、2015年にはIETFによってSSL3.0の使用は禁止されたとのこと。

一方でSSLはネットスケープコミュニケーションズからIETFの管轄へと移り、安全なインターネット通信を実現するためにセキュリティ専門家などを交えた第三者機関によって開発が行われるようになったそうです。1999年には「TLS1.0」がリリースされ、実質的にSSLからTSLへの移行が行われました。2006年には改良版として「TLS1.1」がリリース、さらに2008年には「TLS1.2」がリリースされています。また、2018年8月には最新版としてIETFから「TLS1.3」が正式にリリースされました。

実に20年以上の歴史を持つTLSですが、Google Chrome・Safari・Microsoft Edge・Internet Explorer・FireFoxといった主要ブラウザにおいて、「TLS1.0およびTLS1.1のサポートを2020年の上半期に終了する」と公式発表されました。

by Patrick Bombaert

TLSの古いバージョンであるTLS1.0およびTLS1.1は、多数の攻撃に対して脆弱性があると指摘されており、インターネット通信の安全性を高める目的でサポートの終了が行われる見込みです。ブラウザ自体が古いTLSへのサポートを終了することにより、脆弱性のあるプロトコルを悪用した攻撃が不可能になります。

TLS1.2はリリースから10年を超えており、インターネット通信において非常に広く普及しています。Microsoftによるとすでに多くのウェブサイトがTLS1.2に対応しており、記事作成時点では94％ものウェブサイトがTLS1.2に対応しているそうです。また、Microsoft Edgeの通信においてTLS1.0およびTLS1.1が使用される割合は、ほんの1％にも満たないとのこと。

また、Safariでも通信の99.6％がTLS1.2以降の通信プロトコルによって行われており、FireFoxについても全体のインターネット通信のうち98％以上がTLS1.2またはTLS1.3で行われています。Mozillaのセキュリティブログでは、「インターネットにおいて20年という時間は永遠です」と述べ、数多くの通信を保護してきたTLS1.0とTLS1.1についても、そろそろサポートを終了しなくてはならないとしています。