※本記事の情報は、7/24時点までで確認されている最新のものに変更しております。
2020年上半期中に主要なブラウザ(Chrome、Firefox、Safari、Edge、Internet Explorer、など)で暗号化通信の規格TLS 1.0/1.1の利用が廃止される予定となっております。
これにより、みなさんが運用されているWebサイトにどういった影響があるか?
何をすればよいのかわからない、TLSの確認方法などの疑問にお答えしていきたいと思います。
■TLS 1.0/1.1 脆弱性の影響は?無効化しないとどうなるの?
■そもそもTLSって?SSLとは違うの?
■TLS対応状況の確認方法
■TLS1.0/1.1無効化対応策
■GMOクラウドのサービスでの対応
さいごに
■TLS 1.0/1.1 脆弱性の影響は?無効化しないとどうなるの?
TLS1.1/1.0では、脆弱性が見つかっており、主要ブラウザ提供元ではTLS1.1/1.0の無効化とTLS1.2以降の利用を勧めています。
Webサイトの影響として、主要なGoogle ChromeやFireFox等のブラウザは、TLS1.0/1.1を利用した接続の場合、Webサイトを常時SSL化していても、アドレスバーに「保護されていない通信」の警告とページに「接続は完全には保護されていません」「安全な接続ができませんでした」と警告表示がされてWebサイトが表示されない影響が発生します。
[Google Chrome(Chrome バージョン84)の場合](2020年07月14日よりリリース)
[FireFox(FireFox バージョン78)の場合] (2020年06月30日よりリリース)
運用しているWebサイトがSSL証明書を導入していて、混合コンテンツの対策もおこなっていても、上記警告表示される場合は、ブラウザによるTLS 1.0/1.1 無効化の影響を受けている可能性があります。
TLS1.0/1.1のセキュリティ対応は、ブラウザだけでなくiPhone、iPad、Mac、OS側でも対応がすすんでおり、iOS9とOS X 10.11以降のOSを搭載した機種では、既にTLS1.2が有効でないサーバーへの接続ができない状態となっています。
そうなるとWebサイトそのものが表示されなくなるため、ユーザーに閲覧される機会が減ってしまい、売り上げが減少するといった影響も十分に考えられます。
■そもそもTLSって?SSLとは違うの?
SSLという記述があると、一緒に書かれていることが多いTLSですが、そもそもTLSとは何か、よくわからない方向けに簡単に説明していきたいと思います。
SSL(Secure Socket Layer)は、インターネット上でやりとりされるデータの「盗聴」「改ざん」「なりすまし」等を防ぐための暗号化プロトコル(通信方法)です。
そんなSSLも登場してから年月が経過し、重大な脆弱性が見つかってバージョンアップされていきますが、根本的に設計を見直され、現在は、SSLに変わる新しい仕組み「TLS(Transport Layer Security)」となっています。
現時点でSSLというと、「TLS」のことである場合がほとんどですが、SSLという名称が定着し、広く用いられていたため、混乱を避けるためそのまま「SSL」や「SSL/TLS」と表記されています。
また、現在のTLSの最新バージョンはTLS1.3ですが、対応しているサイトやブラウザが少ないことから推奨バージョンはTLS1.2(2020年3月現在)となっています。
■TLS対応状況の確認方法
ご自身が運用しているWebサイトがTLS1.2以降に対応しているか、確認したい方も多くいらっしゃるかと思いますので、TLSの確認する方法を紹介いたします。
まずは、運用しているWebサイトのチェック、ブラウザにて運用Webサイトが「保護されていない通信」といった警告表示がされている場合、TLS1.0/1.1以外の問題の可能性があります。
ご利用のサーバーとWebサイトについて下記各項目をTLSの利用状況も含めてチェックしてみてください。
1 SSL証明書は正しくインストールされているか
2 SSL証明書の有効期限は過ぎていないか
3 TLS1.0、TLS1.1が有効になっていないか
4 TLS1.2は無効になっていないか
5 混合コンテンツはないか
TLSの利用状況が不明な場合は、ブラウザの機能にて確認することが可能です。対象のWebサイトをFireFox、またはGoogle Chromeで表示したら、キーボードの[F12]キーを押し、出てきたウインドウの中から「コンソール(またはConsole)」をクリックする。
TLS1.2に対応していない場合は下記のような表示が出ます。
Google Chromeの場合
FireFoxの場合
また、外部サイトになりますが、Qualys SSL Labs社が提供しているサービスにて対象WebサイトのURLを入力すると、SSL証明書の設定状況の確認と安全性の診断などをおこなってくれるサイトもあります。こちらの方がブラウザよりも視覚的に見やすくなっています。
◆SSL Server Test
https://www.ssllabs.com/ssltest/
図の赤枠内にURLを入力してSubmitボタンを押すと診断が開始となります。
結果が表示されます。
赤で囲っているオレンジ色の箇所にTLS1.0/1.1が無効化になっていないことが書いてあります。
さらに画面下にすすんでいくと各TLSの設定状況が確認できます。
■TLS1.0/1.1無効化対応策
ご利用のサーバーをTLS1.2以上に対応させる場合の方法は、大きく分けて下記の2つになります。
・サーバーのミドルウェアをTLS1.2以上対応へバージョンアップする。
・サーバーのミドルウェアTLS1.0/1.1の無効化
※TLSのバージョンアップが不可の場合は、
既にTLS1.2以上に対応済みのサーバーへWebサイトの移設をおこなう。
■GMOクラウドのサービスでの対応
サービスの対応はサーバー提供会社ごとにことなりますが、ここでは、弊社の対応についてご紹介します。
TLS1.2以降に対応していないサーバーは、Windows Server 2008 R2やCentOS6以前とOSそのものが古い場合が多く、TLS以外のセキュリティに関しても問題を抱えている場合がありますので、可能であれば新しいOSを搭載したサーバーへ乗り換えていただくことをお勧めしています。
■ベンダーのサポート終了について
CentOS5系:2017年03月31日サポート終了
CentOS6系:2020年11月30日サポート終了
Windows Server 2008/2008 R2:2020年1月14日サポート終了
すぐに新しいOSに現在運用中のコンテンツを対応させることができない等で、現在のOSのまま対応をおこないたい場合は、弊社の有償作業代行にてTLS1.2への対応を実施いたします。TLS1.2の対応の他にサーバー移転についても有償での代行作業を承っています。詳細は以下よりお気軽にお問い合わせください。
https://support.gmocloud.com/ask/
さいごに
いかがでしたでしょうか?TLS1.0/1.1の利用継続は時期にWebサイトが表示されないという事態になりかねません。警告や表示に関する制限は既に開始していますので、早めの対応をお勧めいたします。
