「常時SSL」という言葉を聞いたことがあるだろう。常時SSLとは、Webでやり取りする情報を「TLS」と呼ぶ技術ですべて暗号化すること。TLSの基礎や動向を易しく図解する。

 2018年8月10日、TLSの新バージョン「TLS 1.3」が正式に公開された。従来のバージョンのTLS 1.2が公開されたのは2008年8月であり、実に10年ぶりのバージョンアップになる。

 米国立標準技術研究所(NIST)のセキュリティガイドラインでは、米国連邦政府関連のWebサイトに対して2020年1月までにTLS 1.3 に対応するよう求めている。日本のWebサイトもこのガイドラインに沿って運用することが多い。TLS 1.3にいつ対応すべきか、どんな仕様なのか、順に見ていこう。

2019年中のTLS 1.3対応が目安

 ユーザーにとってTLS 1.3は、Webブラウザーが対応すればTLS 1.3対応のWebサイトにアクセスするだけで使われるようになる。あまり気にする必要はない。一方、Webサイトの管理者にとっては、いつTLS 1.3に対応すべきかは気になる点だ。

 タイミングの一つの目安が2019年末だ。それにはTLSライブラリとして広く使われているOpenSSL のバージョンが関係している。

TLS 1.3対応のOpenSSL 1.1.1には2019年末までに移行
TLS 1.2に対応した長期サポート版(LTS)であるOpenSSL 1.0.2は2019年12月末にサポート期限を迎える。それまでにTLS 1.3に対応した次期LTSであるOpenSSL 1.1.1に移行する必要がある
[画像のクリックで拡大表示]

 OpenSSLには、5年間のサポートを保証する長期サポート版(LTS)と次のバージョンがリリースされてから1年間でサポートが終了する非LTSがある。TLS 1.2までに対応した現行のLTSはOpenSSL 1.0.2であり、このバージョンが広く使われている。一方、TLS 1.3に対応した次期LTSであるOpenSSL 1.1.1は、TLS 1.3の正式公開後なるべく早くリリースされることになっている。

 OpenSSL 1.0.2のサポートが終了するのは2019年12月末であり、それまでにOpenSSL 1.1.1に移行しなければならない。準備期間を考えると、移行作業は2019年中に行う必要があるだろう。

 TLSの技術動向に詳しいヤフーシステム統括本部 サイトオペレーション本部の大津 繁樹氏によると、OpenSSL 1.0.2と1.1.1は非互換の部分があるという。例えば、暗号スイートの指定方法などが変わるため、TLS 1.2までにしか対応していない従来の設定のままではエラーになる可能性がある。移行の際には動作検証が必須だ。

 大津氏は「TLS 1.3への対応に不安がある場合は、まずTLS 1.3 を無効にした状態でOpenSSL 1.1.1に移行するという手もある」とアドバイスする。OpenSSL 1.1.1への移行とTLS 1.3への対応を2段階で実施することでトラブルの可能性を減らすのだ。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。