大手4社のWebブラウザ、2020年にTLS 1.0と1.1を無効化
EdgeとInternet Explorer(IE)11、Safari、Firefox、Chromeで、2020年にTLS 1.0とTLS 1.1が無効化される。
米AppleとGoogle、Microsoft、Mozilla Foundationは10月5日、それぞれのWebブラウザで、TLS 1.0およびTLS 1.1を2020年に無効化する計画を発表した。
TLSは通信の内容を暗号化するHTTPS接続のためのプロトコルで、2019年1月19日でバージョン1.0の登場から20年目を迎える。この間にバージョン1.0と1.1に関連するさまざまな脆弱性も指摘されてきた。IETF(Internet Engineering Task Force)は2018年内に1.0と1.1を非推奨とする予定で、たとえ脆弱性が発見されてもIETFによる修正は行われなくなる。
これを受けてMicrosoftは、EdgeとInternet Explorer(IE)11で2020年上半期から、TLS 1.0と1.1をデフォルトで無効化すると発表した。AppleのiOSとmacOS向けのSafari、およびMozillaのFirefoxでは、それぞれ2020年3月に無効化される。
GoogleはChrome 72でTLS 1.0と1.1を非推奨とし、2020年にリリース予定のChrome 81で無効とする。
TLSは現在、1.2が推奨バージョンとされ、最新バージョンの1.3も2018年8月に正式リリースされている。SSL Labsの調査では、Webサイトの94%が既にTLS 1.2に対応しており、各社のブラウザとも、まだ1.0または1.1を使っている接続は1%に満たないと説明している。
関連記事
- 「TLS 1.3」正式リリース、Firefoxなど主要ブラウザが対応
FirefoxやGoogle ChromeなどのWebブラウザは、既にTLS 1.3のドラフト版に対応しており、Mozillaは10月にリリースされる「Firefox 63」で、今回公開された正式版に対応予定。 - TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来 大手各社の製品に影響
TLSの実装に関して1998年に発見された攻撃手法が、わずかに手を加えるだけで、現代のHTTPSに対して通用してしまうことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.