ついにTLS 1.0/1.1の無効化が決定!影響や確認・対応方法とは? | SSLサーバー証明書ならさくらインターネット

ついにTLS 1.0/1.1の無効化が決定!影響や確認・対応方法とは?

昨年、当コラムにて「いつかTLS 1.0/1.1は利用できなくなる」と言及しましたが、ついにその時が2020年上半期(最短で2020年1月)に迫りました。今回は「TLS 1.0とは?」のおさらいから、利用できなくなった場合の影響、そして確認と対応方法についてご紹介します。

TLS 1.0とは?なぜ使ってはいけないのか?

TLSについては、当コラムの『6月以降はTLS 1.0が使えない?PCI DSS準拠にまつわるSSL/TLSのお話』をご覧ください。簡単に説明すると、TLSは「暗号化通信をするための手順書」のようなものですが、TLS 1.0/1.1などの古いバージョンには脆弱性がある(一定の条件下であれば暗号解読が可能である)ため、利用は非推奨とされていました。直ちに大きな影響が出るものではなかったため、「SSL 3.0無効化」の時のような急激な変化ではなく、比較的緩やかに廃止する形になっていました。

2020年に対応が終了した場合の影響は?

現時点(2019年8月)ではブラウザのプレビューバージョンがリリースされていないため、実際にどのような画面が表示されるかはわかりません。しかしながら、「TLS 1.0/1.1の対応が終了する」と言うことはWebサイトと安全な接続ができなくなるので、少なくとも警告/エラー画面が表示されてサイトにはアクセスできなくなることが予想されます。

2020年上半期中に主要ブラウザ全て(Chrome、Edge、Internet Explorer、Firefox、Safari)で対応が終了する予定になっており、TLS 1.0/1.1にのみ対応しているサーバーを利用しているサイトは、これらのブラウザで順次閲覧できなくなります。

【2019年10月9日追記】

TLS1.0/1.1のみに対応しているWebサイトでの警告表示方法がGoogleのブログで公開されました。
2020年1月にリリースされるChrome79より、ブラウザのアドレスバーに「保護されていない通信」が表示されるようになります。サイト自体の閲覧は可能です。

さらに2020年3月にリリースされるChrome81より、サイトにアクセスした際に全画面の警告が表示されアクセスがブロックされます。警告を読んだ上でサイトへのアクセスは一応可能ではありますが早急なサイト側の対応が必要となります。

Google Online Security Blog:Chrome UI for Deprecating Legacy TLS Versions

どのように対応したらいいのか?

まず始めに、レンタルサーバーなど管理者(root)権限の無いホスティングサービスを利用している方は、自身ではどうすることもできない場合が多いです。利用しているレンタルサーバー会社のサポートページなどを確認してみましょう。自身のサイトをSSLチェッカーにかけて確かめることも簡単にできます。

以下のように実際に弊社のサービスサイトをチェックしてみると、TLS 1.0/1.1が「No」になっており、TLS 1.2が「Yes」になっています。このような状態になっていれば、2020年にTLS 1.0/1.1の対応が終了しても問題なくサイトを閲覧することができます。2019年8月現在、多くのレンタルサーバーではTLS 1.2が有効になっていると思われますので、ほとんどの場合は問題ないと考えられます。

TLS 1.2のイメージ画像

SSL Server Test: ssl.sakura.ad.jp (Powered by Qualys SSL Labs)

現時点(2019年8月)の理想の設定はTLS 1.2のみ(もしくはTLS 1.2/1.3)が有効になっていることですが、1.0~1.2までが有効になっている場合もあると思います。この場合は、ブラウザ側が対応する最新のTLSバージョンで接続されるため、TLS 1.2が有効であればWebサイトの閲覧には問題ありません。ただし、TLS 1.0/1.1が「有効」になっている、ということは脆弱性が存在する状態なのでサーバー設定を修正する必要があります。

もし、ご自身でサーバーを管理されている場合は、Apacheやnginxの設定ファイルでTLS 1.2以上のみを利用する設定に変更する必要があります。以下のようにTLS 1.1以下のみが「Yes」になっている場合、対応終了後はサイトが閲覧できなくなるので注意しましょう。

TLSのイメージ画像

サーバー側とブラウザ側の対応について

TLSはサーバー側でもブラウザ側でも対応が必要になります。そのため、サーバー側が原因でTLS 1.2を利用できない場合と、ブラウザ側が原因でTLS 1.2が利用できない場合という2パターンが存在します。

現在ではTLS 1.2はほぼ全ての最新ブラウザで利用できますが、TLS 1.3はまだ利用できないブラウザもあります。サーバー側の設定をTLS 1.3のみにしてしまうと、サイトを閲覧できないユーザーが出てくるのでサーバー管理者の方は注意しましょう。TLS 1.2も許可しておくことが必要です。

サイト閲覧者側の視点では、常に最新ブラウザを利用することが最も大切、且つ最良の対応方法です。サーバー側の設定が適切であれば、常に一番安全な接続方法を選択してくれます。

さくらインターネットのサービスはどうなっている?

さくらのレンタルサーバでは、昨年TLS 1.1以下を廃止してTLS 1.2のみ許可しているので、特に対応する必要はありません。そのほかのサービスにおけるTLS 1.0/1.1対応状況は以下のお知らせをご確認ください。

【重要】さくらインターネットが提供する各種サービスにおけるTLS1.0/1.1無効化のお知らせ(2018年5月15日16:52追記) | さくらインターネット

まとめ

今回はブラウザによるTLS 1.0/1.1の無効化についてご紹介しました。サイトが閲覧できなくなるという致命的な変更なので注意が必要ですが、管理者(root)権限の無いレンタルサーバーを利用している方は、既にレンタルサーバー会社側で対応していることが多いため、大抵の場合は気にしなくても問題ないと思います。

サーバー管理者の方はTLS設定状況の確認を強くおすすめします。TLS 1.1までしか有効になっていない場合は、設定変更が必要になります。利用しているのウェブサーバ(Apacheやnginx)によってはバージョンアップが必要になる場合もあるので、早めに確認だけでも済ませておきましょう。最新のブラウザを用意して、まずは自身のサイトをチェックしてみるところから始めてみると良いかもしれません。

最終更新日:2019.9.5