4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止 | ScanNetSecurity
2024.03.19(火)

4 月 1 日から文部科学省の Web サイトが見られなくなる? ブラウザにおける TLS1.0 / TLS1.1 の廃止

Webサイト閲覧のための証明書で使用する暗号アルゴリズム「TLS 1.0および1.1」の廃止が進んでおり、対応していないWebサイトは表示されなくなる可能性がある。

脆弱性と脅威 セキュリティホール・脆弱性
 「インターネットの通信は全て暗号化されている」

 ひょっとしたら、そう思っている人が意外に多いのではないだろうか。Web サイトの URL が「 http:// 」で始まっている場合、そのサイトとユーザの Web ブラウザ間の通信は暗号化されず、そのサイトで入力したテキストは平文のままインターネットを送られていく。もし、この通信を第三者が盗聴した場合、入力したテキストをそのまま知られてしまうことになる。

 そこで、銀行やショッピングサイトなどの個人情報やクレジットカード情報などを入力するサイトや Web ページは暗号化されている。その際の URL アドレスは、セキュリティを表す「 s 」が「 http 」の直後につけられた「 https:// 」で始まっており、第三者が盗聴しても内容は暗号化されているので情報が漏れる心配がない。このようなWebサイトは「 HTTPS 化」あるいは「 SSL 化」されているとも言う。

・http
・https : HTTPS 化、SSL 化

 http は Web サーバ( Web サイト)と Web ブラウザ間の通信に使用されるプロトコルであり、暗号化されている場合 https となる。SSL というのは、暗号アルゴリズムの種類だ。SSL は 1.0 から使用されたが、脆弱性が確認されたことで 2.0、3.0 とバージョンアップが繰り返し行われた。しかし、SSL 3.0 にも脆弱性が確認されたため、新たに TLS という規格が採用された。

 ところが、TLS 1.0 および 1.1 にも脆弱性が確認された。一定の条件下で暗号を解読される可能性がある。

 そこで、TLS 1.0 および 1.1 を無効化し、TLS 1.2 移行を採用する動きが進んでいる。マイクロソフトでは 2020 年 7 月に「 Edge Chromium 版」で TLS 1.0、1.1 を無効化しており、2021 年春には「 Internet Explorer 11 」と「 Microsoft Edge HTML 版」も無効化される。Google も 2020 年 7 月に公開した「 Chrome 84 」で無効化が行われた。他のブラウザメーカーも追従している。

 Web ブラウザが TLS 1.0 および 1.1 を無効化したことで、これらを証明書に使用している Web サイトが表示されなくなる可能性がある。Web サイトも同様に TLS 1.2 以降の証明書に差し替える必要があるわけだ。

 サイトの対応は早かった。たとえば Yahoo! Japan は本稿執筆時点から約 3 年前の 2018 年に TLS 1.2 への対応を終わらせている。

 つい先日、文部科学省がその公式サイトを 2021 年 3 月 31 日から「TLS1.0/1.1」による暗号化通信を無効化する予定であることを発表した。Yahoo! Japan と比較すれば随分と時間がかかったと言わざるを得ない。文科省のサイトには「 TLS1.2 に対応できていないブラウザ(パソコン、フィーチャーフォン、スマートフォン、タブレット)、並びに、 TLS1.2 を有効に設定していない端末等から、文部科学省ホームページに接続された場合、閲覧できない可能性があります」と案内されている。

 ただし、Webサイトに適用されているすべての証明書を把握し、それらをTLS 1.2に更新するのは相当な工数がかかる。別ドメインのサイトを複数運用しているケースもあるだろうし、官公庁ならではの手続きがあるかも知れない。事実、総務省や経済産業省など他の官公庁や自治体でTLS 1.2に移行したと発表されているのは特定のドメインに限定されている。

 なお、TLS 1.0 および 1.1 の無効化は、Web サイトだけでなくアプリケーションに適用されるケースもある。マイクロソフトは「 Microsoft 365 」での無効化を 2018 年 10 月に実施している。また、メールプロバイダも同様の対応を行っており、メールソフト側も設定の変更が必要になる。こちらは 2020 年から続々と実施されており、ソフトの設定変更をしていなかったユーザがメールを受信できなくなるケースも多発している。

 現在は、個人情報の入力に関係なく、Webサイトにあるページすべてを暗号化する「常時SSL(HTTPS)化」が推奨されている。TLSの最新バージョンは1.3だが、これらにも脆弱性が発見される可能性もある。

 それにもかかわらず、担当者は証明書を更新・適用する地道な作業を続けているのは、ユーザの安心・安全のためにほかならない。Webサイトを安心して利用できるのは、こうした人たちの努力に支えていることを意識の片隅にでも置いておきたい。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×