2021年4月21日水曜日

SSL TLS いろいろバージョンある

なんでバージョンアップしなきゃいけないのか。

SSL(またTLS)プロトコルは、ユーザとSSL(セキュアー・ソケット・レイ ヤー)電子商取引サイトの間のコミュニケーションの暗号化のためのウェブ規格
以下のとおり暗号化のアルゴリズムでSSLからTLSに名称が変更された。
(SSL4.0がTLS1.0と同じということ、現実にはありませんよSSL4.0なんて)

SSL/TLSの歴史
1.SSL1.0
 リリース前に脆弱性が発見され公開されなかった

2.SSL2.0
 1994年リリース

脆弱なアルゴリズムが使用可能なダウングレード攻撃を受ける恐れあり。2011年3月、RFC 6176 によって使用を禁止された

3.SSL3.0
 1995年リリース
通信の一部を解読可能な「POODLE」という脆弱性あり。2015年6月、RFC 7568によって使用を禁止された

4.TLS1.0
 1999年リリース
SSL3.0と同じく、「POODLE」の対象。共通鍵暗号アルゴリズムにAESが追加されている

5.TLS1.1
 2006年リリース
ハッシュのアルゴリズムにSHA-256が追加、認証付き暗号を用いたcipher suiteが利用可能に
6.TLS1.2
 2008年リリース
ハッシュのアルゴリズムにSHA-256が追加、認証付き暗号を用いたcipher suiteが利用可能に

7.TLS1.3
 2018年リリース
2018/8にRFC8446として正式公開された
TLS1.2に比べ、ハンドシェイクの効率化・暗号強度の向上が実装された。



※SSLはRFCによってすべて使用を禁止されている。


TLS1.2に移行しましょう
クレジットカード業界における国際セキュリティ基準であるPCI DSS v3.2に、TLSに関して記載があります。


セキュリティ機能の新規実装時には、SSLと早期のTLS(1.0と1.1の一部の実装)を使用してはいけない
既存で実装されているSSLと早期のTLSに関しては、2018年6月30日までに廃止し、TLSの安全なバージョンのみを使用しなければならない
早期のTLSを利用してはいけない主な理由としては、暗号化通信の一部を解読可能な「POODLE」という脆弱性が存在しているからです。

「POODLE」という脆弱性が発見された当初はSSL3.0 のみが対象とされていましたが、その後TLS1.0/1.1の一部の実装においても影響を受けると発表されました。 そのため、様々な企業・団体が「TLS1.0/1.1」の使用をやめ、「TLS1.2」への移行や使用の推奨を始めています。

こんな理由てバージョンアップや旧機能の無効化が必要なのです。


バージョンアップの内容
接続シーケンスシンプルに(ほかの更新もあります。)
●TLS1.2のシーケンス
(RFC5246)
4回やり取りを行った後に暗号化開始となります。
●TLS 1.3のシーケンス
(RFC8446)暗号化までのやり取りが2回に減っています。

0 件のコメント:

コメントを投稿

アマチュア無線で利用する1.8Mhz のアンテナ作成に挑戦

■作成にあたり感想をつぶやく(いまだ完成ではないが) 〇チューニングする項目 ・コアのサイズ ・エレメントの長さ(ループに利用したケーブル)      ループアンテナのエレメントにRFケーブルを利用した。      試行錯誤をする中で、      ループを作成には      太い...