Webサイトのセキュリティ強化を!
TLSバージョンアップの対応にむけて

Share
瓦版vol.13アイキャッチ(ネットワークのイメージ)

2022年2月より、主要Webブラウザにおいて、TLS 1.0/1.1が完全に無効化されました。これにより、TLS 1.2以上が有効化されていないWebサーバは主要ブラウザからの接続ができなくなるといった影響があります。また、TLS 1.0/1.1を継続利用し続けることで、攻撃者に脆弱性を突かれ、重要情報を窃取されてしまうといったリスクも考えられます。本記事では、影響とリスクをご紹介し、セキュリティ強化にむけ、どのように対応すればよいのかについて、ポイントをご紹介いたします。

WebブラウザでTLS 1.0/1.1が完全に無効化

2022年2月1日、米 Googleがリリースした「Google Chrome 98」より、TLS 1.0/1.1が完全に無効化されました*1。「Microsoft Edge 98」や「Mozilla Firefox 97」といった、ほかのWebブラウザにおいても同様です*2

2020年上半期には主要なWebブラウザでTLS 1.0/1.1はデフォルトで無効化されており、TLS 1.2以上に対応していないWebサイトへアクセスする際には「安全な接続ではない」旨の警告を示すエラーページが表示されていました*3 。今回のTLS 1.0/1.1の完全無効化はここからさらに進んだ対応で、TLS 1.0/1.1を有効化する機能も削除されました。

WebサイトにおけるTLSの利用状況

2022年1月時点で、世界の人気トップ15万件のWebサイトにおけるTLSのサポート状況は、TLS 1.0が39.3%、TLS 1.1が43.0%、TLS1.2が99.6%、TLS 1.3が51.4%です。

最も普及しているのはTLS 1.2ですが、複数のプロトコルバージョンをサポートしている場合、サーバとブラウザの両者が使用可能なバージョンのうち、新しいものから優先的に使用するのが標準的なTLSの設定です。

最新のブラウザでWebサイトを閲覧する場合、 世界の人気トップ15万件のWebサイトへのアクセスの約50%が最新のTLS 1.3を使用することになるでしょう。調査データの範囲では、TLS 1.3への移行が進んでいることがみてとれるため、今後も調査範囲の対象外でも一般的に、暗号化通信はTLS 1.3への移行が進んでいくと考えられます。

また、主要WebブラウザにおいてTLS 1.0/1.1が完全無効化されたことで、TLS 1.1以下のバージョンは、互換性維持目的での使用すらされなくなりつつあります。

【各プロトコルバージョンのサポート状況】

2019年~2022年の「各プロトコルバージョンのサポート状況」の棒グラフ
出典:Qualys SSL Labs SSL Pulse (https://www.ssllabs.com/ssl-pulse/)より当社作成

過去の経緯

TLS 1.0/1.1についてはこれまでも、インターネット技術特別調査委員会(IETF)から2018年10月より非推奨と勧告されていました*4 。また、2020年7月に情報処理推進機構(IPA)と情報通信研究機構(NICT)より「TLS暗号設定ガイドライン第3.0.1版」が公開されています。さらに、2021年1月には、米国家安全保障局(NSA)より旧TLSプロトコル構成の削除に関するセキュリティガイダンス(Eliminating Obsolete Transport Layer Security (TLS) Protocol Configurations)も発行されています。

国際標準化団体(IETF等)から発行された勧告およびガイドラインの年表

【概要】

TLS暗号設定ガイドライン第3版に関する概要紹介(推奨セキュリティ型・高セキュリティ型のプロトコルバージョン・鍵交換)

TLS 1.2に対してはPFS(Perfect Forward Secrecy)を有する鍵交換方式(ECDHE、DHE)を含む暗号スイートのみの使用が強く推奨されています。PFSは、2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ暗号化技術です。TLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されており、今後、鍵交換方式が満たすべき標準になると考えられます。

ガイドラインの概要図(非推奨TLSバージョンの排除)
ガイドラインの概要図(非推奨暗号スイート・鍵交換方式の排除)

TLS 1.0/1.1を継続使用することによる影響

主要Webブラウザが、TLS 1.0/1.1を完全無効化したことにより、 TLS 1.2以上が有効化されていない場合は主要ブラウザからの接続ができなくなるため、セキュリティが強化されたWebサーバ上でサイトを運用することが必要となります。

攻撃者は、サーバを攻撃するにあたって必ずブラウザを経由するわけではないため、TLS 1.1以下の接続を許容すること自体が危険であり、攻撃者にとって狙いやすいターゲットとなる可能性があります。脆弱性を悪用された場合、通信を盗聴し復号することで重要情報の窃取が可能になるというリスクも考えられます。

TLS 1.1以下の暗号化通信に存在する脆弱性を悪用した攻撃例

BEAST攻撃SSL 2.0、SSL 3.0およびTLS 1.0 プロトコルに影響を及ぼし、攻撃者はWebブラウザとWebサイトとの間のSSL暗号化、またはTLS暗号化されたセッションのコンテンツを復号することができる*5
ダウングレード攻撃TLS 1.1以下のプロトコルでは、認証付き秘匿モード等の安全性の高いアルゴリズムがサポートされていないため、強度の低い暗号アルゴリズムを強制的に使用させることができる*6

現在のセキュリティ対策の指標として一般的に用いられる各種国際的標準でも、TLS 1.1以下の継続使用は下記のとおり推奨されていないため、利用している場合には、早急に対策を検討することが求められます。

NIST(National Institute of Standards and Technology、
米国立標準技術研究所)
2018年10月、ガイドライン案公開。2024年1月1日までにTLSを使用するすべての米国政府のサーバでTLS 1.3をサポートすることを提案
PCI DSS(Payment Card Industry Data Security Standard)2018年6月30日以降、初期TLSを利用しているシステムはクレジットカード業界における監査基準に適合しない
※POS POI環境のように既知の脆弱性の悪用が困難であったり、SSL/TLSをセキュリティコントロールとしては使用していなかったりする等、例外的にTLS 1.1以下が許容される場合がありますが、情報セキュリティのベストプラクティスではTLS 1.1以下のプロトコルバージョンはすべて非推奨とされています。*7

セキュリティ強化にむけた対策のポイント

早急にTLS 1.1以下での接続可否を確認し、接続が可能な場合は対処を実施することが推奨されます。具体的には、TLS 1.1以下は無効(利用不可)とし、TLS 1.3およびTLS 1.2を有効にし、バージョンが新しいものから順に接続の優先度を高く設定してください。

2018年8月には、TLS 1.3が正式リリースされました。以降、TLS 1.3に対応するプラットフォーム等が次々に利用可能になっています。例としては、OpenSSL 1.1.1系(2018年9月)、OpenSSL 3.0系*8(2021年9月)、Java SE/JDK 11(2018年9月)、Java SE/JDK 8バージョン8u261以上*9(2020年7月)や、そのほかにもRed Hat Enterprise Linux 8(2019年5月)が挙げられます。

TLS 1.3のサポートにより、パフォーマンスとセキュリティが向上します。TLS 1.3を利用するメリットと導入時の課題については、下表のとおりです。 構成上または仕組み上、現時点ではTLS 1.3を実装することが困難な場合、上記よりさらに古いシステムが稼働している可能性が考えられます。それらのシステムは、経年に伴う脆弱性の蓄積による影響や、サポート終了により新たに発見された脆弱性への対応策がなくなること等も危惧されます。

TLS 1.3を利用するメリットと導入時の課題

TLS 1.3を利用するメリットと導入時の課題

各種ガイドラインの紹介

PCI DSSについては、 2022年3月31日、Payment Card Industry Security Standards Council (PCI SSC)により、v4.0が公開されました。 *10

また、上段でも触れた「TLS暗号設定ガイドライン第3版」における第2版からの改訂のポイントについては、こちらの記事でまとめてご紹介していますのであわせてご覧ください。
TLS暗号設定ガイドラインがアップデート~TLS 1.0/TLS 1.1は完全に非推奨へ~

本ガイドラインは、各種国際的標準(NIST SP800/PCI DSSv4.0/OWASP ASVS等)の準拠に向けた取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをおすすめします。


弊社のネットワーク診断サービスでは悪意ある第三者の視点で、ネットワークをインターネット経由またはオンサイトにて診断し、攻撃の入口となる可能性のある箇所を検出します。検出された問題点に対しては、各種国際標準や最新の脅威動向を踏まえて深刻度を評価し、推奨対策と合わせてご報告いたします。システムの導入・変更・アップグレード時、運用中のシステムの定期チェックにご活用いただけます。

ネットワーク診断バナー広告

また、デイリー自動脆弱性診断サービスでは、内部ネットワークおよびWEBサイトの脆弱性を毎日自動診断し、その結果を専用のWEBページで報告します。新規設備投資が不要で、即時に結果を確認できるので、脅威が現実となる前に対策を施すことが可能になります。

CPEバナー広告

Security Report TOPに戻る
TOP-更新情報に戻る


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像
セキュリティトピックス動画申し込みページリンクへのバナー画像

TLS暗号設定ガイドラインがアップデート
~TLS 1.0/TLS 1.1は完全に非推奨へ~

Share

2020年7月7日、情報処理推進機構(IPA)と情報通信研究機構(NICT)は、「TLS暗号設定ガイドライン」第3版を公開しました。これは、電子政府推奨暗号の安全性の評価プロジェクト「CRYPTREC」が作成したWebサーバでのTLS暗号設定方法をまとめたものであり、2018年5月8日公開の「SSL/TLS暗号設定ガイドライン」第2版の改訂版となります。なお、第3版では、ガイドラインの名称から「SSL」の語句が消えています。「SSLの使用を禁止すべき」とする前回改訂以降の流れを反映したものといえるでしょう。本記事では、第3版における主な変更点を紹介します。

第3版における変更点としてまず指摘したいのが、「推奨セキュリティ型」の設定基準の更新です。IPA/NICTの本ガイドラインでは、「高セキュリティ型」、「推奨セキュリティ型」、「セキュリティ例外型」(安全性上のリスクを受容してでも継続利用せざるを得ない場合の設定基準)という3つの設定基準が提唱されていますが、第2版で「推奨セキュリティ型」において利用が認められていたTLS 1.0およびTLS 1.1が、第3版では「セキュリティ例外型」でのみ利用可能となりました。なお、SSL 3.0にいたっては、第3版では「セキュリティ例外型」からも除外されています。

ChromeやFirefoxなどの主要ブラウザ(クライアント)においては、2020年上半期をもってTLS 1.0/1.1が無効化され、相互接続の互換性維持目的でTLS 1.1以下をサポートするメリットは既になくなっています。加えて、常時HTTPS化という世界的な流れの中では、TLS 1.0/1.1が利用可能なWebサイトは「安全でない」とみなされる場合もあるでしょう。なお、SSL Pulseによる調査では、約15万の主要サイトのうちTLS 1.3が利用できるのは31.7%、TLS 1.2が利用できるのは97.6%にのぼっています(7月8日時点のデータより)

図:SSL/TLSの利用率推移

https://www.ssllabs.com/ssl-pulse/ のデータにもとづき当社作成

また、プロトコルのバージョンだけでなく暗号スイートについても見直しが行われ、TLS 1.2に対してもPFS(Perfect Forward Secrecy)*11を有する鍵交換方式(ECDHE、DHE)を含む暗号スイートのみの使用が強く推奨されています。PFSは、2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ暗号スイートです。最新のTLS 1.3では、既定でPFSを有する鍵交換方式のみが採用されており、今後、鍵交換方式が満たすべき標準になると考えられます。

その他の暗号スイートについてはどうでしょう。まず、現在広く普及し、サーバ証明書で鍵長をコントロール可能なRSA方式での鍵交換については、PFSを有していないという理由で「推奨セキュリティ型」の設定基準から除外されています。DH(DHE)方式の鍵交換については、使用する製品やその設定等によって選択される鍵長が異なることがあります。2048ビット以上の鍵長を明示的に設定できない製品(Apache 2.4.6以下等)では、1024ビット以下の鍵長のDHEを含む暗号スイートは利用できないようにするなどの対策も必要です。ちなみに、前出のSSL Pulseによる調査では、9.6%のWebサイトで1024ビット以下の鍵長のDH(DHE)がサポートされており、脆弱な秘密鍵が使用されてしまう可能性は依然として存在する点にあらためて注意が必要でしょう(7月8日時点のデータより)。

最後に、TLS 1.0/1.1の継続使用に関しては、セキュリティ対策の指標として広く用いられている各種国際的標準でも非推奨への動きがみられることを押さえておきましょう。例えば、IETF(Internet Engineering Task Force)は、TLS 1.0/1.1廃止のRFC(技術仕様文書)発行を進めており、NIST(National Institute of Standards and Technology)は、2019年8月時点でのガイドライン案において、2024年1月1日までにTLSを使用するすべての米国政府のサーバでTLS 1.3をサポートすることや、RSA方式での鍵交換を停止することを提案しています。また、PCI DSS(Payment Card Industry Data Security Standard)では、2016年公開のPCI DSS v3.2において、初期TLS(TLS 1.0および初期のTLS 1.1実装)を利用しているシステムはクレジットカード業界における監査基準に適合しないとみなしています。OWASPでも、2019年3月にリリースされたOWASP ASVS 4.0において、すべてのWebサイトが通信に関して満たすべき要件として、TLS 1.1以下の古いバージョンのプロトコルを無効化することを求めています。なお、IPA/NICTの本ガイドラインで用いられている3つの設定基準(「推奨セキュリティ型」「高セキュリティ型」「セキュリティ例外型」)は、これら各種標準の指針に対応したものであり、準拠への取り組みや、暗号設定における今後のセキュリティ対策を検討する上でも役に立ちます。ぜひ参照されることをお勧めします。

関連情報

● 量子コンピュータの実用化と耐量子暗号の標準化動向

●2019年下半期 カテゴリ別脆弱性検出状況


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。