TLS 1.3は2018年8月にIETFがRFC 8446として標準化した、トランスポート層セキュリティの最新メジャーバージョンです。前バージョンTLS 1.2(2008年)から実に10年ぶりの大改訂で、設計上の根本的な見直しが行われました。ハンドシェイクの簡略化、危険な暗号アルゴリズムの削除、Forward Secrecyの必須化など、セキュリティとパフォーマンスを同時に向上させた現代Web通信の事実上の標準です。
この記事の目次
- TLS 1.2との主な違い
- Forward Secrecyの重要性
- TLS 1.3の普及状況
- TLS 1.3 運用のポイント
- まとめ
TLS 1.2との主な違い
TLS 1.3最大の特徴は、ハンドシェイクが1-RTT(1往復)まで簡略化されたことです。TLS 1.2では暗号スイートの提示・選択・鍵交換に2-RTT必要でしたが、1.3ではクライアント側が最初から鍵共有を提案します。再接続の場合は 0-RTT(再開時データを最初に送れる)も可能で、Webの体感速度が向上します。
暗号アルゴリズム面でも大鉈が振るわれ、RC4・SHA-1・MD5・CBC・RSA鍵交換等の弱い/古い選択肢を全削除。暗号化と認証を一体化した AEAD(AES-GCM, ChaCha20-Poly1305)のみが許可され、Forward Secrecyを持つ (EC)DHE 鍵交換が必須化されました。
Forward Secrecyの重要性
Forward Secrecy(前方秘匿性)とは、「将来サーバの秘密鍵が漏れても、過去の通信ログを復号できないようにする」性質です。TLS 1.2 のRSA鍵交換ではこれが成立しなかったため、サーバの秘密鍵が一度漏れると過去の全通信が遡って解読されるリスクがありました。
TLS 1.3 では (EC)DHE が必須化され、セッションごとに使い捨ての一時鍵で暗号化するため、サーバ秘密鍵がいつか漏れても過去ログは安全に保たれます。国家規模の通信監視・記録に対する根本的な防御策と言えます。
TLS 1.3の普及状況
TLS 1.3はRFC化前から主要ブラウザ(Chrome、Firefox、Safari、Edge)が対応し、急速に普及しました。現在Webサーバ側もNginx、Apache、IIS、CDN各社が対応済みで、新規サイトのSSL/TLS設定は1.3を有効化するのが標準です。
並行して、TLS 1.0 / 1.1 / SSL 3.0は脆弱性が多すぎるため廃止が進行。PCI DSSや各国の規制でも 1.2 以上が必須化されており、1.2 + 1.3 のみを有効にするのが現代のサーバ設定の鉄則です。
TLS 1.3 運用のポイント
TLS 1.3を運用する際は、サーバのOpenSSL(または同等のTLSライブラリ)が1.1.1以上であることを確認してください。古いOSではTLS 1.3対応のためにライブラリアップグレードが必要な場合があります。
設定例の自動生成にはMozilla SSL Configuratorが便利で、推奨設定を自動的に作ってくれます。本番反映後はQualys SSL LabsでA以上のスコアを目指して微調整するのが現代SSL運用の定番フローです。
まとめ
TLS 1.3はWeb通信のセキュリティとパフォーマンスを同時に底上げした重要な標準で、現代Webの礎です。サーバ・クライアント双方が対応した今、TLS 1.3 を有効化していないのはむしろリスクと考える時代に入っています。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント