TLS1.2未満をWebサーバで停止する方法と確認方法

WEB
スポンサーリンク

2020年にはTLS1.2以上が(ほぼ)必須になるようです。

2020年には主要なブラウザでTLS1.0とTLS1.1が無効化される予定
「TLS」とは、インターネットなどのネットワークでデータを暗号化して送受信するプロトコルの一種です。ネットスケープコミュニケーションズが1990年代中頃に開発した暗号化プロトコルである「SSL」の後継として、インターネット技術タスクフォース...

といっても主要なブラウザはほぼTLS1.2に対応しているのでPCやスマホを使う分には何も問題なさそうです。
※ガラケーは、TLS1.2に未対応っぽいですね。たまに街中でガラケーの人もみかけますが。。。

Template:ウェブブラウザにおけるTLS/SSLの対応状況の変化 - Wikipedia

サーバの設定

気にしないといけないのはサーバ側で、設定が昔のままだったりしてTLS1.1とかTLS1.0が有効になっていると、セキュリティ上あまりよろしくない状態になっちゃうよ、と。(SSL3.0などは少し前に騒がれたので無効済みのサーバが多いと思いますが、TLSはまだ有効なところが多そうです)
ガラケーに対応しなければならない等の特殊な事情が無い限り、TLS1.2未満は停止した方が安全っぽいです。

個人的に使うことが多いApache2.2系だと、SSL(mod_ssl)の設定を以下のようにすることで「TLS1.2以外ダメー!」という設定にすることができます。

SSLProtocol -all +TLSv1.2
mod_ssl - Apache HTTP Server Version 2.2

ちゃんと設定できたか確認

きちんと設定した通りに動作しているかどうかを確認するにはopensslコマンドで確認します。

openssl s_client -connect example.com:443 -tls1_1

最後の「-tls1_1」の部分を「-tls1」とか「-tls1_2」とかに変えて確認しましょう。
Apache側で無効になっていれば、以下のメッセージが出て切断されます。

no peer certificate available

逆に接続できた場合はリクエスト待ちになるので「GET / HTTP/1.0」とか入力すれば応答が返ってきます。

 

コメント