IETF(Internet Engineering Task Force)のRFC(Request for Comments)8996でTLS(Transport Layer Security)1.0および1.1が正式に廃止
トピック: ネットワークおよびアプリケーションセキュリティ、Barracuda WAF-as-a-Service、Barracuda Web Application Firewall
2021年3月31日、Tushar Richabadas
TLSはクライアントとアプリケーションサーバの間のデータ転送を暗号化する通信プロトコルです。公開のアプリケーションまたはWebサイトがある場合は、いずれかのバージョンのTLSが使用されている可能性が高いです。TLSは、過去に複数のバージョンがリリースされており、バージョンごとに前のバージョンより徐々にセキュアになっています。TLS 1.3は、最新バージョンのTLSであり、最大限のセキュリティを実装しています。
約1週間前、IETFは「RFC 8996 (Best Current Practice)」を正式に承認しました。このRFCでは、古いTLS 1.0および1.1がSSL(Secure Sockets Layer)/TLSのリストから正式に廃止されていますが、この理由は下記の概要のとおりです。
“These versions lack support for current and recommended cryptographic algorithms and mechanisms, and various government and industry profiles of applications using TLS now mandate avoiding these old TLS versions. TLS version 1.2 became the recommended version for IETF protocols in 2008 (subsequently being obsoleted by TLS version 1.3 in 2018), providing sufficient time to transition away from older versions. Removing support for older versions from implementations reduces the attack surface, reduces opportunity for misconfiguration, and streamlines library and product maintenance. “
TLS 1.2以上の使用を義務付けられていないほとんどの企業にとって、今回の変更の影響はアドバイザリです。現在、TLS 1.2または1.3への移行はWeb、モバイル、またはAPI(アプリケーションプログラミングインターフェース)ベースのアプリケーションを使用するトランザクションを最大限に保護するベストプラクティスです。
話を進めましょう。
このRFCのドラフトには「draft-moriarty-tls-oldversions-diedie」という独創的なタイトルが付けられていました。
今年の2月、バラクーダはBarracuda WAF-as-a-Serviceトラフィックからのデータに基づいて、Webアプリケーション攻撃に関するBarracuda Threat Spotlight(バラクーダが注目する脅威)を発表しました。このブログで指摘されている興味深い傾向は下記のとおりです。
- すべてのトラフィックの約92%でHTTPSが使用
- HTTPSトラフィックの約65%でTLS 1.3が使用
- すべてのHTTPSトラフィックの約30%でTLS 1.2が使用
- HTTPSトラフィックの5%以下でTLS 1.1以下が使用
上記のとおり、お客様の通信は、かなりセキュアです。
上記のデータの興味深い点(TLS 1.3の割合がかなり低いという当初の予測を除く)は、ほとんどの最新のブラウザでTLS 1.3がサポートおよび優先されていることであり、TLS 1.3を使用するという今回の変更がそれほど困難ではないことです。また、しばらく前に一部で言われていたことと比較すると、ほぼシームレスになっています。ボットでもTLS 1.2が古いバージョンより優先されていると思われますが、この主な理由は基盤になるOS(オペレーティングシステム)がTLS 1.2をサポートしているためです。ブラウザの自動更新によって、セキュリティが強化されています。
しかし、今回の変更の障害は実際のアプリケーションです。SSL 3.0以上をサポートしていない古いアプリケーション、および最新バージョンのTLSをサポートしていない古いバージョンのOSに依存するアプリケーションは、アップグレードに時間と労力がかかるため、十分に保護されません。一方、Barracuda WAF-as-a-Serviceを使用する場合、このような障害は大きな問題ではありません。Barracuda WAF-as-a-Serviceは、すべてのアプリケーションをわずか数分で導入および保護できます。この保護の最適な点は、Barracuda WAF-as-a-Serviceが、セキュアなHTTPSフロントエンドをアプリケーションに提供し、最新バージョンのセキュアなTLSでブラウザおよびアプリケーションと通信することです。Barracuda WAF-as-a-Serviceは、この最新バージョンをアプリケーションが使用できる古いバージョンに変換し、バックエンドが理解できる方法でトラフィックをバックエンドに渡します。また、Let’s Encryptの無料のHTTPS証明書との統合によって、証明書の作成プロセスを自動化することもできます。このように、複雑性の多くを排除し、セキュリティを確保します。
無料の30日間の評価版については、このWebサイトをご参照ください。Webサイトの脆弱性を無料でスキャンするには、Barracuda Vulnerability Managerをご使用ください。
原文はこちら:
TLS1.0 and TLS1.1 officially deprecated by IETF RFC8996
March 31, 2021 Tushar Richabadas
https://blog.barracuda.com/2021/03/31/tls1-0-and-tls1-1-officially-deprecated-by-ietf-rfc8996/