なんでバージョンアップしなきゃいけないのか。 SSL(またTLS)プロトコルは、ユーザとSSL(セキュアー・ソケット・レイ ヤー)電子商取引サイトの間のコミュニケーションの暗号化のためのウェブ規格 以下のとおり暗号化のアルゴリズムでSSLからTLSに名称が変更された。 (SSL4.0がTLS1.0と同じということ、現実にはありませんよSSL4.0なんて) SSL/TLSの歴史 1.SSL1.0 リリース前に脆弱性が発見され公開されなかった 2.SSL2.0 1994年リリース 脆弱なアルゴリズムが使用可能なダウングレード攻撃を受ける恐れあり。2011年3月、RFC 6176 によって使用を禁止された 3.SSL3.0 1995年リリース 通信の一部を解読可能な「POODLE」という脆弱性あり。2015年6月、RFC 7568によって使用を禁止された 4.TLS1.0 1999年リリース SSL3.0と同じく、「POODLE」の対象。共通鍵暗号アルゴリズムにAESが追加されている 5.TLS1.1 2006年リリース ハッシュのアルゴリズムにSHA-256が追加、認証付き暗号を用いたcipher suiteが利用可能に 6.TLS1.2 2008年リリース ハッシュのアルゴリズムにSHA-256が追加、認証付き暗号を用いたcipher suiteが利用可能に 7.TLS1.3 2018年リリース 2018/8にRFC8446として正式公開された TLS1.2に比べ、ハンドシェイクの効率化・暗号強度の向上が実装された。 ※SSLはRFCによってすべて使用を禁止されている。 TLS1.2に移行しましょう クレジットカード業界における国際セキュリティ基準であるPCI DSS v3.2に、TLSに関して記載があります。 セキュリティ機能の新規実装時には、SSLと早期のTLS(1.0と1.1の一部の実装)を使用してはいけない 既存で実装されているSSLと早期のTLSに関しては、2018年6月30日までに廃止し、TLSの安全なバージョンのみを使用しなければならない 早期のTLSを利用してはいけない主な理由としては、暗号化通信の一部を解読可能な「POODLE」という脆弱性が存在