Apple、Google、Microsoft、Mozillaは本日、2020年上半期までに各社のブラウザでTLSバージョン1.0および1.1をデフォルトで無効にすると発表しました。TLSプロトコルは、ブラウザ、インスタントメッセンジャー、さらには電子メールサーバーでも主に通信のセキュリティを確保するために使用されています。
TLS 1.0、1.1 は廃止されました
ここ数年、TLS 1.0およびTLS 1.1プロトコルと、それらと併用されていたアルゴリズムの設計上の脆弱性を悪用する新たな攻撃が見受けられます。これらの攻撃には、TLS認証トークンを盗むBEAST、サーバーへの接続のセキュリティを低下させるLogjamとFREAK、そしてMD5やSHA-1といった安全でないハッシュ関数などが含まれます。
これらに加えて、TLS 1.2プロトコルは10年以上も前のものなので、ブラウザとウェブ開発者のどちらにとっても、今となっては使用しない理由はほとんどありません。今年初めには、IETFがTLS 1.3仕様も最終決定しました。この仕様は、TLSプロトコルをさらに合理化し、強化し、暗号アルゴリズムの解読を容易にするものです。
TLS プロトコルとは何ですか?
TLS(Transport Layer Securityの略)プロトコルは、以前使用されていたSecure Sockets Layer(SSL)プロトコルのアップグレード版です。Netscapeは、インターネットの少なくとも一部の用途では、コンピュータネットワーク上で安全な通信が必要であることを認識し、SSLを発明しました。
Netscape社はSSL 1.0を非公開にしていましたが、これは後に深刻な欠陥があることがわかったためです。同社は1995年にSSL 2.0を公開しましたが、その後まもなく、外部のセキュリティ研究者によって多くの欠陥があることが証明されました。1996年、暗号学者のポール・コッチャーはNetscape社と共同でSSLバージョン3.0をリリースし、その上で1999年にTLS 1.0が開発されました。TLS 1.1は2006年、TLS 1.2は2008年にリリースされました。
Chrome 72は来年前半にTLS 1.0と1.1のサポートを停止し、AppleのSafari、MozillaのFirefox、MicrosoftのEdgeおよびInternet Explorer 11ブラウザは1年後の2020年前半にこれら2つのプロトコルバージョンのサポートを終了する。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
