TLS(Transport Layer Security)
よみ: ティーエルエス
通信を暗号化するプロトコル。SSL の後継規格で、現在「SSL 証明書」と呼ばれているものは実体としてはほぼ TLS。証明書ファイルは同じ、変わったのは握手手順(ハンドシェイク)と暗号スイートの中身。世間の慣習として「SSL」と呼び続けられている。
本書のスタンス(Lesson 1-4)としては、担当者が TLS のバージョンを意識する場面は限定的。「古い API・決済代行と接続できなくなった」「PCI DSS 等のコンプライアンス監査」「SSL Labs スコアを業者がレポートで出してきた」「ガラケー / 旧 IE / 旧 Android 対応が必要」のような具体的なトリガーがあったときに調べる、で十分。
バージョン:TLS 1.0 / 1.1 は脆弱性のため非推奨・無効化済み。現行は TLS 1.2 / 1.3 で、サーバ・ブラウザとも標準対応。レンタルサーバの設定で意図せず古いバージョンを有効化していると、SSL Labs で C 評価が出ることがある。決済代行や金融機関 API は早めに古いプロトコルを切るため、自社の通信先が TLS 1.2 以上のみを要求してきたときに「動かない」と気付く事故もある。
落とし穴は、SSL の話と TLS の話を混同して業者と会話がすれ違う(担当者が「SSL」と言うとき、実体は TLS 証明書 + TLS 1.2 / 1.3 プロトコルを指している)、TLS バージョンを上げたら古いガラケーや古い社内ブラウザでアクセス不可になった、証明書チェーン(中間 CA)の設定漏れで一部ブラウザだけ警告。バージョンや暗号スイートを触る話が出たら、必ず社内検証環境で一通り動作確認してから本番に入れる。
言葉をよく利用する人
- インフラエンジニア
- バックエンドエンジニア
- 情シス
- Web 担当者(発注側)
会話上での使用例
SSL Labs スコアを業者が C と報告してきた場面
-
業者ディレクター
SSL Labs で測ったら C 評価でした。TLS 1.0 / 1.1 が有効になっています
-
Web 担当者
無効化してください。古いブラウザの利用統計を GA で先に確認して、影響範囲を出した上で切り替えましょう
-
業者ディレクター
了解、過去 3 ヶ月の利用ブラウザ統計と、無効化の手順書を作って事前共有します
決済 API の接続エラーで業者から連絡が来た場面
-
バックエンドエンジニア
決済代行 API への通信がエラーで止まっています
-
Web 担当者
TLS バージョンの要求が変わったというお知らせ来てましたか?あの代行会社は古いプロトコルを順次切る方針です