2020年03月27日 07時00分 ネットサービス

FirefoxがTLS1.0と1.1を再度有効化、新型コロナウイルス情報を発信する政府サイトへのアクセスを改善するため



「TLS」はインターネットなどのネットワークにおいて、セキュリティを要求されるデータ通信を行うプロトコルの一種です。TLSの古いバージョンであるTLS1.0、TLS1.1には多数の脆弱性があると指摘されていたため、主要なブラウザは安全性向上のためにTLS1.0、TLS1.1を無効化することを決定しています。Mozillaが開発するFirefoxも、2020年3月11日に正式版がリリースされた「Firefox 74」でTLS1.0、TLS1.1を無効化しましたが、「新型コロナウイルス感染症の影響で再びTLS1.0、TLS1.1を有効にした」と報じられています。



Firefox 74.0, See All New Features, Updates and Fixes

https://www.mozilla.org/en-US/firefox/74.0/releasenotes/



TLS 1.0/1.1 support has been removed (Reverted) | Firefox Site Compatibility

https://www.fxsitecompat.dev/en-CA/docs/2020/tls-1-0-1-1-support-has-been-removed/



Mozilla re-enables TLS 1.0 and 1.1 because of Coronavirus (and Google) - gHacks Tech News

https://www.ghacks.net/2020/03/21/mozilla-re-enables-tls-1-0-and-1-1-because-of-coronavirus-and-google/



SSLの後継として1999年ごろから開発されているTLSは、公開鍵証明書と秘密鍵暗号による通信の暗号化やハッシュ関数による改竄検知などの機能を提供し、データの送受信を安全に行うことが可能となっています。ところが、TLSの古いバージョンであるTLS1.0およびTLS1.1には多数の脆弱性があると指摘されており、Google Chrome・Safari・Microsoft Edge・Internet Explorer・Firefoxといった主要ブラウザは、「TLS1.0およびTLS1.1のサポートを2020年の上半期に終了する」と公式に発表しています。



2020年には主要なブラウザでTLS1.0とTLS1.1が無効化される予定 - GIGAZINE



by William Krapp



2018年の時点でも、既にTLS1.1の次のバージョンとして2008年に発表されたTLS1.2が広く普及しており、94％ものウェブサイトがTLS1.2に対応していたとのこと。Firefoxで行われるデータ通信についても98％以上がTLS1.2またはTLS1.3で行われていることから、Mozillaのセキュリティブログは「インターネットにおいて20年という時間は永遠です」と述べ、そろそろTLS1.0とTLS1.1のサポートを打ち切らなくてはならないと表明していました。



そして2020年3月11日、Mozillaは「Firefox 74」正式版をリリースし、ついに TLS 1.0と1.1をデフォルトで無効にしました。この変更により、TLS1.2以降をサポートしていないウェブサイトにアクセスした場合、エラーメッセージが表示されるようになったそうです。



「Firefox 74」正式版リリース、TLS 1.0と1.1の無効化＆外部アプリによるアドオンのインストールが禁止へ - GIGAZINE





ところが、「Firefox 74」の正式版リリースからわずか10日後の3月21日、テクノロジー系のニュースサイトであるgHacksが「FirefoxがTLS1.0およびTLS1.1のサポートを復活させた」と報じました。



「Firefox 74」の変更点について記された公式ページを見ると、TLS1.0およびTLS1.1のサポートが終了したという変更を記した部分に打ち消し線が引かれ、「COVID-19の情報を共有する重要な政府系サイトへのアクセスをより有効にするために、継続期間は未確定ですが変更を元に戻しました」と述べられています。





Mozillaの説明によると、多くのウェブサイトがTLS1.2以降に対応している中でも、一部の政府系ウェブサイトはTLS1.2に対応していないとのこと。そのため、今回は人々が新型コロナウイルス感染症に関する情報へアクセスできることを優先し、TLS1.0およびTLS1.1へのサポートを復活させたそうです。



新型コロナウイルス感染症の流行によって当初の予定が変更になったブラウザはMozillaだけではありません。既にChromeは新型コロナウイルスの影響で更新が一時停止される事態となっており、影響は各所に現れています。



新型コロナウイルスの影響でChromeとChrome OSの更新が一時停止、Chrome OS搭載デバイスの開発に遅れが出る可能性も - GIGAZINE



by Tati Tata

