「常時SSL」という言葉を聞いたことがあるだろう。常時SSLとは、Webでやり取りする情報を「TLS」と呼ぶ技術ですべて暗号化すること。TLSの基礎や動向を易しく図解する。

 2018年8月10日、TLSの新バージョン「TLS 1.3」が正式に公開された。従来のバージョンのTLS 1.2が公開されたのは2008年8月であり、実に10年ぶりのバージョンアップになる。

 米国立標準技術研究所(NIST)のセキュリティガイドラインでは、米国連邦政府関連のWebサイトに対して2020年1月までにTLS 1.3 に対応するよう求めている。日本のWebサイトもこのガイドラインに沿って運用することが多い。TLS 1.3にいつ対応すべきか、どんな仕様なのか、順に見ていこう。

2019年中のTLS 1.3対応が目安

 ユーザーにとってTLS 1.3は、Webブラウザーが対応すればTLS 1.3対応のWebサイトにアクセスするだけで使われるようになる。あまり気にする必要はない。一方、Webサイトの管理者にとっては、いつTLS 1.3に対応すべきかは気になる点だ。

 タイミングの一つの目安が2019年末だ。それにはTLSライブラリとして広く使われているOpenSSL のバージョンが関係している。

TLS 1.3対応のOpenSSL 1.1.1には2019年末までに移行
TLS 1.2に対応した長期サポート版(LTS)であるOpenSSL 1.0.2は2019年12月末にサポート期限を迎える。それまでにTLS 1.3に対応した次期LTSであるOpenSSL 1.1.1に移行する必要がある
[画像のクリックで拡大表示]

 OpenSSLには、5年間のサポートを保証する長期サポート版(LTS)と次のバージョンがリリースされてから1年間でサポートが終了する非LTSがある。TLS 1.2までに対応した現行のLTSはOpenSSL 1.0.2であり、このバージョンが広く使われている。一方、TLS 1.3に対応した次期LTSであるOpenSSL 1.1.1は、TLS 1.3の正式公開後なるべく早くリリースされることになっている。

 OpenSSL 1.0.2のサポートが終了するのは2019年12月末であり、それまでにOpenSSL 1.1.1に移行しなければならない。準備期間を考えると、移行作業は2019年中に行う必要があるだろう。

 TLSの技術動向に詳しいヤフーシステム統括本部 サイトオペレーション本部の大津 繁樹氏によると、OpenSSL 1.0.2と1.1.1は非互換の部分があるという。例えば、暗号スイートの指定方法などが変わるため、TLS 1.2までにしか対応していない従来の設定のままではエラーになる可能性がある。移行の際には動作検証が必須だ。

 大津氏は「TLS 1.3への対応に不安がある場合は、まずTLS 1.3 を無効にした状態でOpenSSL 1.1.1に移行するという手もある」とアドバイスする。OpenSSL 1.1.1への移行とTLS 1.3への対応を2段階で実施することでトラブルの可能性を減らすのだ。

この先は有料会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら