全2271文字

 多くのWebサイトは、TLSという技術を利用して安全にやりとりできるようにしている。TLSに対応したWebサイトにWebブラウザーでアクセスすると、Webサイトの正当性が確認され、通信が暗号化される。TLSに対応していないWebサイトにアクセスすると、ほとんどのWebブラウザーはセキュリティーの警告を表示する。

 だが2020年3月以降は、TLSに対応しているのにもかかわらず、Webブラウザーの画面全体にセキュリティー警告が表示され、アクセスできなくなるWebサイトが出てくる可能性がある。

2020年3月にリリースされるChrome 81の警告画面例
2020年3月にリリースされるChrome 81の警告画面例
(出所:米グーグル)
[画像のクリックで拡大表示]

 そのような事態になれば、Webサイトの訪問者数はゼロになり、運営する企業の信用失墜は免れない。どういうことだろうか。

1年前からサポート終了を予告

 現時点でのTLSの最新バージョンは2018年3月に規定されたTLS 1.3。現在最も広く使われているのは、2008年8月に規定されたTLS 1.2である。古いバージョンのTLS 1.0とTLS 1.1にはセキュリティー上の弱点があるとして、セキュリティー組織やブラウザーベンダーなどは使用しないよう呼びかけてきた。

 そして2020年3月以降は、主なWebブラウザーはTLS 1.0/1.1に対応しなくなる。Webサイトを運営する組織にとって影響は大きい。

 だが、非対応にすることは急に決まった話ではない。1年前に予告されていた。2018年10月、主要なWebブラウザーベンダーは2020年にTLS 1.0とTLS 1.1を無効化するとそろって発表し、サポート終了に備えるよう警告した。

 Chromeを提供する米グーグルは公式ブログにおいて、TLS 1.0/1.1は弱点が見つかっているハッシュ関数MD5やSHA-1を使用するなど安全ではないと指摘。2020年にリリース予定のChrome 81で完全に無効にすると宣言した。

 米アップルも、SafariのエンジンであるWebKitの公式ブログにおいて、2020年3月以降に実施するiOSおよびmacOSのアップデートにより、SafariのTLS 1.0/1.1対応を終了すると明言した。

 米マイクロソフトも2020年前半にEdgeおよびInternet Explorer 11でTLS 1.0/1.1を無効にすると表明。Firefoxを提供する米モジラ財団も同様だ。

 特定の技術について1年前からサポート終了を予告することは珍しい。しかも2018年10月時点で、TLS 1.0/1.1にしか対応していないWebサイトは少なかった。

 グーグルによると、当時はChromeによるHTTPS接続の0.5%だけがTLS 1.0あるいはTLS 1.1を使っていたという。アップルも同様の情報を出している。SafariのHTTPS接続の99.6%がTLS 1.2以上だとする。

この記事は有料会員限定です

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

有料会員と登録会員の違い