PR

 公開Webサーバーの調査などを実施している英Netcraft(ネットクラフト)は現地時間5月31日,SSL(Secure Sockets Layer)を使用しているWebサイト(SSLサーバー)に関する調査結果の一部を発表した。それによると,アクセス数が多いSSLサーバー上位2万サイトのうち,SSL 2.0を使わないとアクセスできないサイトはわずか20サイト(0.1%)だったという。

 SSL 2.0にはセキュリティ上の問題があるとして,1996年にSSL 3.0が発表され,広く利用されるようになっている。現在ではその後継であるTLS(Transport Layer Security)1.0の導入も進んでいる(Netcraftの調査では,97%のSSLサーバーがTLSをサポートしている)。その一方で,互換性の問題からWebブラウザの多くがSSL 2.0もサポートし続けているため,1年ほど前までは,SSL 2.0でないとアクセスできないSSLサーバーが多数存在していたという。

 しかしながら2005年以降,主要なWebブラウザ・ベンダーがSSL 2.0のサポート中止を表明し始めた。例えばFirefoxについては,2005年9月の時点でサポートを中止する意向が明らかにされた(MozillaZineの情報)。Internet Explorer(IE)については,次期バージョンのIE 7で(関連記事:IE7向けセキュリティ強化の一部を公表),Operaについても次のバージョン9でデフォルトではSSL 2.0を無効にすることがアナウンスされている(ノルウェーOpera Softwareの情報)。

 これらを受けて,Webサイト管理者のほとんどはSSL 3.0やTLS 1.0への対応を進めているために,SSL 2.0だけに対応しているWebサイトは減少しているとする。同社の調査によれば,2万サイトのうち20サイトだけがSSL 2.0による通信を要求したという。

 また,“弱い”暗号(鍵長が128ビットよりも短い暗号)しか使えないWebサイトの数も減っているという。以前は米国の輸出規制により,強力な暗号を実装した米国製ソフトウエアは米国外では利用できなかった。Netcraftが2000年1月に調査したところ,米国外のサイトの40%以上が弱い暗号を使っていたという。

 しかし現在では規制が撤廃されたために,米国外でも利用できるようになっている。同社の調査によれば,弱い暗号を使うようネゴシエーションするSSLサーバーは,正当なデジタル証明書を持つ全SSLサーバーの0.2%以下になっているという。

◎参考資料
Most sites ready for SSL progress