推さない日記：SSL復号化編（その１）

• 推さない日記シリーズ第1弾
  推さない日記：仮想デスクトップ編（その１）
  推さない日記：仮想デスクトップ編（その２）
  

  TLS 1.3が普及すると復号化できなくなるってホントですか？

  さきに結論を書いてしまいます。

  大丈夫です、できます！

  ただし、メーカによって制限があります。将来を見据えて、機器選定時にチェックしましょう。

  と、、、冒頭からいきなり結論を書いてしまいましたが、なにを言っているんだ！？と思われる読者も多いかと思います。

  そこで仕切り直しまして、今回は、ファイアウォールやプロキシサーバにおけるSSL復号化技術に関するホットなトピックをご紹介していきます。

  TLS 1.3ってなんですか？

  まず、SSL復号化の「SSL」とは暗号化プロトコルの名前です。

  SSLというプロトコルには脆弱性が多くあったため、その後継としてTLSというプロトコルが開発されました。そして、このTLSも数回のバージョンアップを重ねて、現在最も多く使われているプロトコルが、TLS 1.2となります。

  TLS 1.3とは現在普及しているTLS 1.2の欠点を解消したプロトコルであり、近い将来、主流となる暗号化プロトコルとなるでしょう。ちなみに、Qualys社のSSL Pulseを見るとTLS1.3の普及率の推移などがわかります。

  TLS 1.3をもっと深く知りたいです！

  今回の記事も選定ポイントを解説するものであり、ディープでギークな内容を書くつもりがないため、TLS 1.3で変更された機能、特長、メリットなど、詳しく知りたい方はGoogleさんに聞いていただければと思います。参考までに以下にIPAから出されているガイドラインのリンクを張っておきます。

  IPA「TLS 暗号設定 ガイドライン」
  https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-3.0.1.pdf

  TLS 1.3って本当に普及するの？

  つい最近、TLS 1.2の前身であるTLS 1.0/1.1が主要なブラウザで無効になりました。各ブラウザの対応状況については以下の記事が分かりやすいかと思います。

  サイバートラスト「主要ブラウザーの TLS 1.0/1.1 無効化について（続報）」
  https://www.cybertrust.co.jp/blog/ssl/regulations/tls-july-update.html

  またさきほどのIPA「TLS 暗号設定 ガイドライン」では、プロトコルバージョンの要求設定においてTLS 1.3が採用されました。

  TLS 1.3の波がもうそこまで迫ってきていると思います。

  乗って大丈夫！？このビッグウェーブに

  実は、このTLS 1.3、これまでのTLS 1.2とは仕組みが結構大きく変わっています。

  現行のファイアウォールやプロキシサーバでは、TLS 1.3に対応していないものもあり、そのままTLS 1.3主流の時代を迎えてしまうと大変なことが起きてしまいます。

  大変なことが起きてしまった例として、以下のニュースをご紹介します。

  ZDNet「IETFがTLS 1.3を承認--安全性や速度向上、課題も」

  Googleが2017年に「Chromebook」のOSを「Google Chrome OS 56」にアップデートした後、10万台以上のChromebookが接続不能に陥ったと報じられた。これはSymantecの「Blue Coat」プロキシアプライアンスが、未対応のTLS 1.3による接続を、TLS 1.2にダウングレードしてネゴシエーションする代わりに、中断してしまったために発生したとされる。

  ZDNet Japan「IETFがTLS 1.3を承認--安全性や速度向上、課題も」
  https://japan.zdnet.com/article/35116733/

  次回から本題に移ります

  今回はTLS 1.3とは何なのか、今後どういうことが起きうるのか、ということを紹介しました。

  ここから先は長くなってしまうので、今回はここまでとします。

  • なぜTLS 1.3が普及するとSSL復号化ができなくなる、と考える人がいるのか
  • そして、それは本当なのか

  次回はこの2点について明らかにしていきたいと思います。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。