採用情報

お問い合わせ

BLOG

SSL/TLS サーバー証明書 BLOG

主要ブラウザーにおける TLS 1.0/1.1 無効化について

2018 年 10 月 15 日、Internet Explorer や Edge、Chrome、Firefox、Safari といった主要ブラウザーを取り扱う Microsoft、Google、Mozilla、Apple の大手 4 社が、2020 年前半における TLS(Transport Layer Security)1.0/1.1 無効化の計画を発表しましたが、まもなくその時期を迎えようとしています。

そこで本記事では、上記ブラウザーにて TLS 1.0/1.1 がいつ無効化されるのか、および無効化された後の影響についてお知らせします。

はじめに

TLS 1.0/1.1 無効化の前に、TLS を使用した HTTPS 暗号化通信をするためにはサーバー証明書が必要です。

そしてサーバー証明書の利用には、ブラウザーをはじめとする、「サーバーにアクセスする利用者のソフトウェア環境」にて以下の条件を満たしている必要があります。

1. ルート証明書 が搭載されている
2. 署名アルゴリズム「SHA-2」に対応している

インターネットに接続可能な状態で、冒頭で挙げたような Internet Explorer や Edge、Chrome、Firefox、Safari といった主要ブラウザーをご利用されるにあたっては、「サーバーにアクセスする利用者のソフトウェア環境」を特段意識する必要はありませんので、ご安心ください。

※ 当社が提供している SureServer では、以下のルート証明書を利用しています。これらのルート証明書は、Windows や iOS といった各種 OS やブラウザーへ標準的に搭載されています。
2019 年 9 月 30 日の SureServer リニューアル前: Baltimore CyberTrust Root
2019 年 9 月 30 日の SureServer リニューアル後: Security Communication RootCA2(3 階層)
Security Communication RootCA1(4 階層)
詳しくは「SureServer 証明書、および SureMail 証明書 ルート・中間 CA 証明書のダウンロード」をご参照ください。
SureServer のリニューアルについては「SureServer リニューアルに関するお知らせ」をご参照ください。

TLS 1.0/1.1 が無効化されるタイミング

前述の大手 4 社のブラウザーにおいては、それぞれ以下のタイミングにて TLS 1.0/1.1 が無効化される予定です。

ブラウザー 時期
Internet Explorer/Edge
  • 2020 年前半に TL S1.0/1.1 を無効化
Chrome
  • 2020 年 1 月 13 日より、Chrome 79 以降にて TLS 1.0/1.1 の接続時に警告を表示
  • 2020 年 3 月リリース予定の Chrome 81 より TLS 1.0/1.1 の接続を無効化し、TLS 1.0/1.1 を利用した接続時に「接続が安全ではない」のような旨を示す画面を表示
Firefox
  • 2020 年 3 月リリース予定の Firefox 74 より TLS 1.0/1.1 の接続を無効化し、TLS 1.0/1.1 を利用した接続時に「安全な接続ができませんでした」のような旨を示す画面を表示
Safari
  • 2020 年 3 月リリース予定の Safari 13 より TLS 1.0/1.1 の接続を無効化し、TLS 1.0/1.1 を利用した接続時に「このページは表示できません」のような旨を示す画面を表示

ssl-disable-tls-10-schedule.png

Chrome、Firefox、Safari は具体的な対応時期が提示されていますが、Internet Explorer および Edge においては、2020 年前半という記載のみ確認できます。

TLS 1.0/1.1 が無効化された後の影響

各ブラウザーで TLS 1.0/1.1 が無効化された後、TLS 1.2 以上に対応していないサーバー(TLS 1.1以下のみ対応となっているサーバー)へアクセスすると、以下例のようなメッセージを示す画面が表示されます。

Firefox 72.0a1

ssl-disable-tls-10-firefox-future.png

※Nightly と呼ばれる開発者向けバージョンで確認しています。

なお Firefox では、記事掲載時点の正式リリースバージョン(70.0.1)においても、TLS 1.0/1.1 での接続時には次のような警告メッセージを確認することができます。

ssl-disable-tls-10-firefox-current.png

Chrome 79

2020 年 1 月 13 日以降におけるアドレスバーの警告表示

ssl-disable-tls-10-chrome-addressbar.png

※Betaバージョンで確認しています。

Chrome 81 については、記事掲載時点において開発者向けバージョンでも 80.0.3979.0 が最新であり、画面が確認できません。

Safari 13

ssl-disable-tls-10-safari-addressbar.png

※ Safari Technology Preview と呼ばれる開発者向けバージョンで確認しています。

Internet Explorer および Edge

TLS 1.0/1.1 が無効化された後のブラウザー表示の挙動について、情報を確認できません。

どのような対策が必要か

サーバーを運用、管理する立場の皆さま

お使いのサーバーを TLS 1.2 以上(TLS 1.2 および 1.3)に対応させておく必要があります。

2019 年 11 月 3 日時点の SSL Pulse(SSL/TLS の利用状況を継続的に分析、掲載している Web サイト)の調査結果によると、世界でもアクセス数の多い 15 万 Web サイトのうち、約96 %の Web サイトで TLS 1.2 が有効になっているというデータがあります。もしまだ対応されていないようであれば、可能な限り早めの対応をおすすめします。

サーバーにアクセスされるユーザーの皆さま

前述の通りブラウザー等のソフトウェア側での対応が進むため、ソフトウェアを最新に保たれていれば、何かを意識して設定されるような必要はありません。

ソフトウェアを最新の状態で保つことは、TLS 1.0/1.1 の無効化に限らず、セキュリティ上で非常に重要なポイントになりますので、常日頃より最新の状態を保つことをおすすめします。

さいごに

ここまで TLS について触れてきましたが、TLS を使用した通信をするためには、ご利用のサーバーにサーバー証明書を適用していることが前提となります。

特に Extended Validation(EV)と呼ばれる証明書は、サイト運営者の実在性を最も厳格に審査する信頼性の高い証明書であり、以下のように視覚的な安全性をアピールすることができます。

Internet Explorer

ssl-disable-tls-10-ev-ie.png

Chrome

ssl-disable-tls-10-ev-chrome.png

Firefox

ssl-disable-tls-10-ev-firefox.png

サーバー証明書をご検討の際は、高いクライアントカバレッジと柔軟なサポートをご提供する、当社 SureServer EV、および SureServer をご活用ください。

この記事の著者
金子大輔の写真
金子 大輔

2012 年サイバートラスト入社。PKI 商材の技術サポート、品質保証に従事し、2020 年より iTrust 本人確認サービスのプロダクトマネージャー兼プロジェクトマネージャーを担当。2022 年よりトラストサービスを統括するトラストサービスマネジメント部部長に就任。米国 PMI 認定 PMP。

本記事に関連するリンク
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime