WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： JQ
カテゴリー： プログラム >サーバ

最近はURLが「https://」から始まる、いわゆる「常時SSL化」に対応したWebサイトが多くなってきました。私の感覚でいうと6:4くらいでSSL化されたサイトのほうが多いという印象です。

ひと昔前は、SSLに対応していないWebサイトは「安全ではありません」などと表示されるため、様々な企業が自社のWebサイトのSSL対応に追われたというのは記憶に新しいところです。

ですが、常時SSL化に対応していても、今度はまた別の問題がやってきます。それが「ブラウザーのTLS1.0/1.1無効化」という問題です。

「TLS」とは？

「TLS」とは、非常に大きいくくりで話をすればSSLと同義と捉えても問題ありません。
細かく説明すると、どちらも通信を暗号化するプロトコルではありますが、SSLのさらに上位にTLSがあるという位置づけになっています。

Web業界ではSSLと説明したほうがわかりやすいので、実際にはTLSという方式を使用していてもSSLと表記しているサーバーもあります。

「ブラウザーのTLS1.0/1.1無効化」について

そして本題の「ブラウザーのTLS1.0/1.1無効化」についてですが、TLSには1.0、1.1、1.2、1.3というバージョンがあります。
現在メジャーなのは1.2というバージョンで、1.3はまだまだ対応しているサーバー自体が少ないのが現状です。

「TLS1.0/1.1」はバージョンが低く脆弱性が存在することから、今後はブラウザー側でTLS1.0および1.1を用いた通信は無効化し遮断してしまうという対応になるという勧告が以前からなされています。

そのため、現在SSL化をすでに対応しているWebサイトでも、利用しているサーバーのTLSのバージョンによっては、今後ユーザーにサイトが表示されなくなってしまうということが考えられます。

対応までのタイムリミットは？

以前は2020年上半期（前半）には、各社のブラウザーがTLS1.0/1.1を無効化するというスケジュールで動いていましたが、新型コロナウイルス感染拡大の影響もあってか、少々先延ばしになっています。

Internet Explorer / Edge

MicrosoftのInternet Explorer 11や、以前の方式のEdgeは2020年9月8日以降はTLS1.0/1.1をデフォルトで無効化するというスケジュールになっています。

またChromiumベースの新しいEdgeはバージョン84より、TLS1.0/1.1をデフォルトで無効化するということです。

Google Chrome

Google Chromeは、バージョン83よりTLS1.0/1.1をデフォルトで無効化となっています。

そのため、記事執筆時点での最新バージョンでは、すでにTLS1.0/1.1はデフォルトで無効化になっているということです。

Firefox

Firefoxは少し前のバージョンでTLS1.0/1.1のデフォルト無効化がされていましたが、現在のバージョンでは一時的にその無効化が解除されているようです。

ですが、またいつ元に戻るかわかりませんので、対応は必須であると思われます。

Safari

Safariに関しては、現在はTLS1.0/1.1のサイトであっても見ることはできますが、「安全ではありません」と表示がされている状態です。

今後のバージョンアップで全く見えなくなってしまうことも考えられます。

まとめ

繰り返しになりますが「自社のWebサイトはSSL化されているので安心」と思っていたら、使っているサーバーが古くある日突然、Webサイトが見られなくなってしまったということも十分に考えられます。

企業のWeb担当の方々は手遅れになる前に、一度ご自身の企業のWebサイトが使用しているWebサーバーが、どんな暗号化方式を使っているのか確かめてみると良いかもしれません。