Transport Layer Security

この ký sự にはPhục sổ の vấn đề があります.Cải thiệnやノートページでの nghị luận にご hiệp lực ください. Xuất điểnがまったく kỳ されていないか bất thập phân です. Nội dung に quan するVăn hiến や tình báo nguyênが tất yếu です.(2021 niên 4 nguyệt) Cổ い tình báo をCanh tânする tất yếu があります.(2021 niên 4 nguyệt) Xuất điển kiểm tác?:"Transport Layer Security"–ニュース·Thư tịch·スカラー·CiNii·J-STAGE·NDL·dlib.jp·ジャパンサーチ·TWL

TCP/IP quần
アプリケーション tằng
BGP DHCP DNS FTP HTTP IMAP IRC LDAP MGCP MQTT NNTP NTP SNTP TIME POP RIP OSPF ONC RPC RTP SIP SMTP SNMP SSH Telnet TFTP TLS/SSL XMPP カテゴリ
トランスポート tằng
TCP UDP DCCP SCTP RSVP QUIC カテゴリ
インターネット tằng
IP IPv4 IPv6 ICMP ICMPv6 NDP IGMP IPsec カテゴリ
リンク tằng
ARP SPB トンネリング L2TP PPP MAC イーサネット IEEE 802.11 DSL ISDN カテゴリ
Biểu Thoại Biên Lịch

インターネットセキュリティ プロトコル
キーマネジメント
Kerberos RPKI(Anh ngữ bản) PKIX Web of trust X.509 XKMS(Anh ngữ bản)
アプリケーション tằng
DKIM DMARC HTTPS PGP Sender ID SPF S/MIME SSH TLS/SSL
DNS
DANE DNSSEC DNS over HTTPS DNS over TLS CAA DNSCrypt
インターネット tằng
IKE IPsec L2TP OpenVPN PPTP WireGuard
Biểu Thoại Biên Lịch

Transport Layer Security( トランスポート・レイヤー・セキュリティ,TLS) は,インターネットなどのコンピュータネットワークにおいてセキュリティを yếu cầu される thông tínを hành うためのプロトコルである. Chủ な cơ năng として, thông tín tương thủ のNhận chứng,Thông tín nội dung のÁm hào hóa,Cải thoánの kiểm xuất を đề cung する. TLSは phi 営 lợi tổ chứcIETFによって sách định された.

Đương プロトコルは ( đặc に khu biệt する tràng hợp を trừ いて )SSL(Secure Sockets Layer) と hô ばれることも đa い. これは, TLSの nguyên になったプロトコルがSSLであり^[1],そのSSLという danh xưng が quảng く phổ cập していることによる^[2].SSLはNetscapeが thiết kế ・ khai phát した^[3].Đương sơ のSSLを nguyên にして, dĩ hậu, SSL 2 ( 1994 niên ), SSL 3 ( 1995 niên ) がそれぞれ tiền バージョンの khiếm 陥や thúy nhược tính を tu chính するものとして công khai された. SSLを拡 trương して, TLS ( 1999 niên ), TLS 1.2 ( 2008 niên ), TLS 1.3 ( 2018 niên ) が tác られた^[3].

2022 niên hiện tại の tối tân bản はTLS 1.3である.

Khái yếu[Biên tập]

TLSは đa くの tràng hợp, コネクション hình のトランスポート tằngプロトコル ( thông thường はTCP) とアプリケーション tằngの gian で sử われる. Đặc にHTTPでの lợi dụng を ý thức して thiết kế されているが, アプリケーション tằng の đặc định のプロトコルには y tồn せず, dạng 々なアプリケーションにおいて sử われている. TLS 1.1 dĩ hàng を nguyên にしたプロトコルが,UDPやDCCPといったデータグラムHình プロトコル thượng でも thật trang されており, こちらはDatagram Transport Layer Security(DTLS) として độc lập して tiêu chuẩn hóa されている.

TLSはHTTPなどのアプリケーション tằng のプロトコルと tổ み hợp わせることで,HTTPSなどセキュアな thông tín プロトコルを thật hiện している. そのようなプロトコルとして dĩ hạ のものがある.

SSLと tổ み hợp わせたプロトコル	ポート phiên hào	Nguyên のプロトコル	ポート phiên hào
HTTPS	443	HTTP	80
SMTPS	465	SMTP	25
LDAPS	636	LDAP	389
FTPS(data)	989	FTP(data)	20
FTPS (control)	990	FTP (control)	21
IMAPS	993	IMAP	143
POP3S	995	POP3	110

アプリケーション tằng プロトコルへの thích dụng[Biên tập]

TLSは đặc định のアプリケーション tằng プロトコルに y tồn しないため, HTTP dĩ ngoại にも đa くのプロトコルにおいて thải dụng され,クレジットカードTình báo やCá nhân tình báo,その tha の cơ mật tình báo を thông tín する tế の thủ đoạn として hoạt dụng されている.

Kí tồn のアプリケーション tằng プロトコルでTLSを lợi dụng する tràng hợp, đại きく2つの thích dụng phương thức が khảo えられる. まずひとつは, hạ vị tằng ( thông thường はTCP ) の tiếp 続を xác lập したらすぐにTLSのネゴシエーションを khai thủy し, TLS tiếp 続が xác lập してからアプリケーション tằng プロトコルの thông tín を khai thủy する phương thức である. もうひとつは, まず kí tồn のアプリケーション tằng プロトコルで thông tín を khai thủy し, その trung でTLSへの thiết り thế えを chỉ kỳ する phương thức である. Thiết り thế えコマンドとしてSTARTTLSが quảng まっているため, この phương thức tự thể をSTARTTLSと hô ぶこともある.

Tiền giả はアプリケーション tằng のプロトコルをまったく変 canh しなくてすむことが lợi điểm である. その phản diện, bình văn で tiếp 続を khai thủy する thật trang と cộng tồn できなくなるため, kí tồn のポート phiên hàoとは biệt にTLS đối ứng dụng のポート phiên hào が tất yếu となる. Thật thái としては, SSL/TLSの tối sơ の thích dụng lệ であるHTTPSをはじめとして, tiền giả の phương thức を sử うことが đa い. ただし, この phương thức はバーチャルホストを cấu thành する tế に vấn đề となる khả năng tính がある. Tường tế は#バーチャルホストの tiết を tham chiếu.

なお, ポート phiên hào を phân ける phương thức をSSL, đồng nhất ポート phiên hào で thiết thế える phương thức ( STARTTLS phương thức ) をTLSと hô んでいる thật trang もある^[4].TLS/SSLという dụng ngữ の khu biệt がプロトコルのバージョンを chỉ しているか, アプリケーション tằng プロトコルへの thích dụng phương thức を chỉ しているかは, văn mạch で phán đoạn する tất yếu がある.

セキュリティ thượng の khảo sát[Biên tập]

TLS thích dụng の hữu vô と sử dụng アルゴリズムの cường độ[Biên tập]

TLSを đạo nhập さえすればセキュリティが xác bảo できるという nhận thức は ngộ っている. TLS thông tín は,Bình vănでの thông tín に bỉ べて ( chủ にÁm hào hóa・Phục hàoThời ) dư phân なKế toán cơ năng lựcを sử dụng するため, bổn đương に tất yếu なとき dĩ ngoại は sử dụng しないことが đa い. システムはデータの trọng yếu tính を phán đoạn することができないので, TLSが tất yếu なときに chính しく sử われているかどうかは, lợi dụng giả tự thân が phán đoạn しなければならない.

World Wide Webでは, ハイパーリンクによるページ thiên di を sào り phản して処 lý を hành うため, どの thông tín で TLS (HTTPS) が sử dụng されているか bả ác することが trọng yếu になる. Đa くのウェブブラウザは, họa diện のどこかにNam kinh đĩnhのアイコンを biểu kỳ したり,アドレスバーの sắc を変 hóa させたりして, lợi dụng giả に tình báo を đề cung していた. Nhất phương Google は nam kinh đĩnh のアイコンが thích thiết ではなくなったとして, Chrome での nam kinh đĩnh の biểu kỳ を廃 chỉ した^[5].Bối cảnh として, HTTPS が phổ cập したこと, nam kinh đĩnh アイコンの ý vị を chính しく lý giải している nhân が thiếu ない^[6]ことを cử げている. さらに, Chrome では HTTPS を sử っていない thông tín を hành う tiền に cảnh cáo họa diện を xuất すようにした^[7].

また thật tế に sử dụng するアルゴリズムは song phương のネゴシエーションによって quyết まるため, TLSを sử dụng していても, システムとして hứa dung はするが thôi thưởng できないアルゴリズムが thải dụng される khả năng tính がある. このような tràng hợp もダイアログメッセージなどを sử って lợi dụng giả に cảnh cáo すべきである.

Chứng minh thư の chính đương tính[Biên tập]

TLSは công khai kiện chứng minh thư を dụng いて nhận chứng を hành い,なりすましを cực lực bài trừ しようとする. しかしシステムの tự động đích な đối ứng には hạn giới があり, すべてのなりすましを kiểm xuất できるわけではない.

Công khai kiện chứng minh thưには nhận chứng cục による điện tử thự danh が dữ えられる. その thự danh の chính đương tính を bình 価するためには nhận chứng cục の chứng minh thư が tất yếu であり, tối chung đích にはルート chứng minh thưと hô ばれる nhất quần の chứng minh thư に hành きつく. Các システムは, nhận chứng cục の chứng minh thư として tín dụng できるルート chứng minh thư を, あらかじめ bảo trì している. Nhận chứng cục は tự thân の bí mật kiện を nghiêm trọng に bí nặc し, また chứng minh thư の phát hành にあたっては chính đương なサーバ quản lý giả かどうか xác nhận することが cầu められる. これらが bảo chứng されない nhận chứng cục のルート chứng minh thư を tổ み込むことは, TLSにおける nhận chứng cơ năng を phá trán させることになる. 仮に nhận chứng cục tự thể は an toàn でも, nhập thủ したルート chứng minh thư が bổn đương に ý đồ する nhận chứng cục のものかどうか phán đoạn することは nan しいという điểm も chú ý すべきである.

TLSで nhận chứng を hành うためには, nhận chứng cục の thự danh に gia えて, chứng minh thư の phát hành tiên を xác nhận する tất yếu がある. Xác nhận しない tràng hợp, サーバAの quản lý 権 hạn を trì たない giả がサーバBとして chính đương な chứng minh thư を thủ đắc し, その chứng minh thư を sử ってサーバAを danh thừa ることができてしまう. TLS dụng のサーバ chứng minh thư には phát hành tiên サーバのホスト danh が thư き込まれており, クライアントは tự phân が tiếp 続しようとしているサーバのホスト danh と nhất trí するかどうか xác nhận することができる.

Hiện thật には “Chính đương な” サーバであっても, これらの kiểm chứng において “Vấn đề がある” と phán đoạn される chứng minh thư を sử って vận dụng されているサーバが thiếu なからず tồn tại する. セキュリティ nghiên cứu giả のCao mộc hạo quangは, このような chứng minh thư のことを,オレオレ trá khiをもじって “オレオレ chứng minh thư”と hô んで phê phán している^[8].

この kiểm chứng は, システムに chỉ kỳ された tiếp 続 tiên のホスト danh と thật tế に tiếp 続した tiên のホスト danh が nhất trí することを kiểm chứng しているのであり, lợi dụng giả が ý đồ する tiếp 続 tiên とは tất ずしも nhất trí しないことに chú ý する tất yếu がある.

Lệ として, lợi dụng giả が ý đồ する tiếp 続 tiên であるサーバAがホスト danh www.example.comでサービスを đề cung しており, công kích giả はサーバBおよびホスト danh www.example.orgを thủ đắc している tràng hợp を khảo える. 仮に công kích giả がDNS ngụy trangに thành công して, www.example.comへの tiếp 続をサーバBに đạo くことができたとしても, www.example.comのサーバ chứng minh thư を nhập thủ できないので, TLS tiếp 続を đề cung することはできない. しかし công kích giả も, www.example.orgのサーバ chứng minh thư を nhập thủ することはできる. したがって, サーバAに tiếp 続しようとしている lợi dụng giả を, www.example.comではなくwww.example.orgへ tiếp 続させることができれば, クライアントからは chính đương な chứng minh thư を trì ったサーバとしか kiến えない.

Thượng ký のような lệ も khảo lự した thượng で, lợi dụng giả が ý đồ している tiếp 続 tiên かどうかを phán đoạn するためには, dĩ hạ の2つの điều kiện を mãn たす tất yếu がある.

1. Lợi dụng giả は ý đồ する tiếp 続 tiên の chính しいホスト danh を tri っている.
2. Lợi dụng giả は, hiện tại システムに chỉ kỳ されている tiếp 続 tiên が, tự phân の tri っている chính しいホスト danh と nhất trí していることを xác nhận できる.

2は,Tình báo 処 lý thôi tiến cơ cấu(IPA) が công khai している “An toàn なウェブサイトの tác り phương”^[9]という văn thư の “フィッシングTrá khi を trợ trường しないための đối sách” に đối ứng する.

Loạn sổ の phẩm chất[Biên tập]

Tha の đa くの cận đại ám hào と đồng dạng に, TLSもまた, ám hào としての cường độ は loạn sổ の phẩm chất に y tồn している. Hằng sổ (ビットTrường ) の đại きな ám hào は thôi trắc が nan しいという tiền đề が ám hào cường độ の căn 拠となっている ( これは,Công khai kiện ám hàoシステムにも ngôn える ). もし hà らかの lý do で loạn sổ の xuất hiện xác suất が đại きく thiên るようなことがあれば,Tổng đương たり công kíchで giải đọc される khả năng tính が thượng thăng する. Thông thường は, これは thật trang の vấn đề に khởi nhân している.

Cổ い lệ では, Netscapeの sơ kỳ の thật trang における loạn sổ sinh thành の thúy nhược tính がある.プロセスIDや thời khắc から loạn sổ を sinh thành していることが phán minh し, これらの tình báo を thủ đắc できる tràng hợp には tổng đương たり công kích の sở yếu thời gian が đại phúc に đoản くなるという vấn đề があった^[10].

2008 niên5 nguyệt 15 nhậtにはDebianが thúy nhược tính に quan する báo cáo^[11]を phát biểu した.OpenSSLライブラリのパッケージメンテナンスの tế に ngộ ったパッチを đạo nhập した kết quả, kiện sinh thành に thích thiết な loạn sổ が sử われず cận か65536 (= 2¹⁶) thông りの dư trắc khả năng な vật が sinh thành されてしまった sự を minh らかにした^[12]( なお, この vấn đề はOpenSSLそのものの thúy nhược tính ではない ). この ảnh hưởng を thụ けるのはDebian sargeより hậu のバージョンのDebianと, それから phái sinh したDamn Small Linux,KNOPPIX,Linspire,Progeny Debian,sidux,Ubuntu,UserLinux,Xandrosである. Thúy nhược tính のあるバージョンのOpenSSLは2006 niên9 nguyệt 17 nhậtに công khai された. An định バージョンがリリースされた2007 niên4 nguyệt 8 nhậtDĩ hàng は xác thật に ảnh hưởng を thụ ける. Thúy nhược tính のあるバージョンのOpenSSLで tác られた kiện toàn て,SSHKiện,OpenVPNKiện,DNSSECKiện,X.509Chứng minh thư を sinh thành するのに sử われる kiện データ, およびSSL/TLSコネクションに sử うセッション kiện đẳng が ảnh hưởng を thụ ける. これらの kiện は65536 thông り toàn てを tổng đương たり công kích で thí すだけでいずれの kiện が sử われているか giải đọc khả năng であり ( SSHでは20 phân gian で giải đọc できたと báo cáo されている ), また thúy nhược な kiện がインストールされたDebianを hàm む toàn てのオペレーティングシステムにおいて khẩn cấp の đối ứng が tất yếu であると chuyên môn gia が chú ý を hô びかけている. Sinh thành された kiện に vấn đề があるため, Debian GNU/Linuxで sinh thành した kiện をMicrosoft Windowsのような phi UNIXシステムに đạo nhập しているような tràng hợp も, この thúy nhược tính の ảnh hưởng を thụ ける. Cụ thể đích đối ứng については, Debianの báo cáo の tha,JPCERT/CCの khuyên cáo^[13]Đẳng に従うべきである.

プロトコル khái yếu[Biên tập]

Bổn thuyết ではTLS 1.2の khái yếu を thuyết minh する.

TLSには chủ なプロトコルとして ám hào thông tín に tất yếu な kiện (master secret) をKiện cộng hữuしてセッションを xác lập するTLSハンドシェイクプロトコルと, master secretを dụng いて ám hào thông tín することで xác lập されたセッションにおけるコネクションをセキュアにするTLSレコードプロトコルがある.

その tha に dụng いている ám hào phương thức やハッシュ quan sổ đẳng のアルゴリズムを変 canh するChange Cipher Spec プロトコルと thông tín tương thủ からの thông tín chung liễu yếu cầu や hà らかのエラーを thông tri するアラートプロトコルがある.

TLSハンドシェイクプロトコル[Biên tập]

TLSハンドシェイクプロトコルは4つのフェーズに đại biệt できる.

クライアント	( đệ nhất フェーズ )	サーバ
	─ClientHello───→
	←ServerHello────
	( đệ nhị フェーズ )
	←Certificate────
	←ServerKeyExchange─
	←CertificateRequest──
	←ServerHelloDone──
	( đệ tam フェーズ )
	─Certificate───→
	─ClientKeyExchange→
	─CertificateVerify─→
	( đệ tứ フェーズ )
	─Change Cipher Spec→
	─Finished─────→
	←Change Cipher Spec─
	←Finished──────

Đệ nhất フェーズ[Biên tập]

Đệ nhất のフェーズではサーバ・クライアント gian で thông tín に tất yếu tình báo の hợp ý を đồ る. このフェーズでは, まずクライアントからサーバにClientHelloが tống tín され, thứ にサーバからクライアントにServerHelloが tống tín される^[14].

ClientHelloはTLSのバージョン, loạn sổ, セッションID, thông tín に dụng いる ám hào phương thức やハッシュアルゴリズムのリスト (cipher_suites), thông tín nội dung の áp súc phương pháp, および拡 trương lĩnh vực の6つからなる^[14].Loạn sổ は kiện cộng hữu におけるリプレイ công kích を phòng ぐためのものである.

ServerHelloもClientHelloと đồng dạng の6つからなっている ( danh xưng は nhất bộ dị なる )^[14].ServerHelloの chủ な mục đích は, ClientHelloで đề kỳ された tuyển 択 chi の trung でサーバにとって hảo ましいものを tuyển 択する sự で, lệ えばClientHelloで đề kỳ されたcipher_suitesの trung から, サーバが thông tín に sử いたいcipher_suiteを nhất tổ tuyển ぶ^[14].Loạn sổ はClientHelloとは độc lập して tuyển ぶ^[14].これもリプレイ công kích を hồi tị するためである. セッションIDは đặc に vấn đề がなければClientHelloと đồng nhất のものを phản す.

Đệ nhị フェーズ[Biên tập]

Đệ nhị フェーズではサーバからクライアントに đối して kiện cộng hữu に tất yếu な tình báo を tống る. Cụ thể đích にはサーバはCertificate,ServerKeyExchange,CertificateRequest,ServerHelloDoneを ( đệ nhất フェーズServerHelloに dẫn き続き ) クライアントに tống tín する^[14].

Certificateは kiện cộng hữu で dụng いる công khai kiện とその chứng minh thư で biệt đồ thủ り quyết めがない hạn りX.509v3のフォーマットに従う^[14].なお kiện cộng hữu phương thức としてDH_anonを dụng いている tràng hợp にはcertificateは tất yếu ない^[14].

ServerKeyExchangeは kiện cộng hữu プロトコルに y tồn して tống るデータが dị なるが, DH_anonであれば,g^xmodpという hình のデータを tống る. ここでxはサーバの bí mật の loạn sổ である. Kiện cộng hữu プロトコルがDHE_DSS, DHE_RSA, DH_anonでは hà らかのserver_key_exchangeを tống るが, RSA, DH_DSS, DH_RSAでは hà も tống らない^[14].

CertificateRequestはクライアントの công khai kiện とその chứng minh thư を tống ることを yếu cầu するためのもので, サーバが hứa dung できる chứng minh thư の chủng biệt, ハッシュと thự danh phương thức, およびNhận chứng cụcのリストからなっている^[14].

そして tối hậu にサーバ trắc からのメッセージ tống tín が chung わった sự を kỳ すServerHelloDoneをクライアントに tống る.

Đệ tam フェーズ[Biên tập]

Đệ tam フェーズではクライアントからサーバに đối して kiện cộng hữu に tất yếu な tình báo を tống る. Cụ thể đích にはクライアントはCertificate,ClientKeyExchange,CertificateVerifyをサーバに tống る^[15].

Certificateは kiện cộng hữu で dụng いるクライアントの công khai kiện とその chứng minh thư である. Chứng minh thư はサーバから tống られてきたCertificateRequestの điều kiện を mãn たさねばならない.

ClientKeyExchangeは kiện cộng hữu プロトコルに y tồn して tống るデータが dị なるが, DH_anonであれば,g^ymodpという hình のデータを tống る. ここでyはクライアントの bí mật の loạn sổ である.

ここまでのプロトコルにより, サーバとクライアントの gian でpremaster secretが cộng hữu された sự になる. DH_anonであればpremaster secretはg^xymodpである. premaster secretを kiện にしたNghĩ tự ランダム quan sổにServerHelloとClientHelloの loạn sổ などを tịnh べたものを nhập lực した kết quả đắc られたものがmaster secretである^[15].

CertificateVerifyはクライアントが thự danh năng lực を trì っていることを chứng minh するためにこれまでTLSハンドシェイクプロトコルで tống thụ tín された toàn メッセージに đối し, cộng hữu されたmaster secret で thự danh したものである^{[Yếu kiểm chứng–ノート][14]}.

Đệ tứ フェーズ[Biên tập]

クライアントは tất yếu ならChange Cipher Spec プロトコルのメッセージをサーバに tống り, chung liễu を ý vị するFinishedをサーバに tống る. Đồng dạng にサーバも tất yếu ならChange Cipher Spec プロトコルのメッセージをクライアントに tống り, chung liễu を ý vị するFinishedをクライアントに tống る^[14].

TLSレコードプロトコル[Biên tập]

TLSレコードプロトコルはアプリケーション tằng から thụ け thủ った thông tín nội dung を2¹⁴バイト dĩ hạ のブロックにPhân giải(fragmentation) し, các ブロックをÁp súc(compress) し, áp súc されたブロックをNhận chứng ám hàoで ám hào hóa するレコード Payload phòng hộを thi した thượng で, thông tín nội dung を thông tín tương thủ に tống tín する^[16].

Nhận chứng ám hào は, TLS 1.1まではMACをつけた hậu で cộng thông kiện ám hào hóa するMAC-then-Encrypt (MtE) のみが lợi dụng khả năng であった. TLS 1.2からは,AES-GCMのようなAEADに phân loại される nhận chứng ám hào chuyên dụng のÁm hào lợi dụng モードも lợi dụng khả năng になり^[16],TLS 1.3ではAEADのみが lợi dụng khả năng となっている.

Nhận chứng ám hào にブロック ám hào ( AEAD dĩ ngoại ) を tuyển 択した tràng hợp, TLS 1.1 dĩ hàng においてIVはTLSレコードプロトコルの tống tín giả がランダムに tuyển ぶ^[16].ランダムなIVは,BEAST công kíchへの đối sách として hữu hiệu である. Nhất phương, nhận chứng ám hào で dụng いる cộng thông kiện はTLSハンドシェイクプロトコルで cộng hữu されたmaster secretを dụng いる.

バージョン[Biên tập]

コンピュータの kế toán năng lực の hướng thượng とともに, nhận chứng の đột phá, ám hào の giải đọc, cải thoán も dĩ tiền よりは dung dịch に hành えるようになり, セキュリティ xác bảo のための kỹ thuật も nghiêm しさを tăng している.

2017 niên hiện tại では, TLS 1.2 dĩ thượng のバージョンの thật trang が thôi thưởng され, TLS 1.1 dĩ hạ のサポートを đình chỉ するサイトも xuất てきている^[17][18][19].2021 niên 3 nguyệt にはRFC8996により, TLS 1.0〜TLS 1.1の sử dụng cấm chỉ が cầu められている.

Defined
バージョン	Niên
SSL 1.0	n/a
SSL 2.0	1995
SSL 3.0	1996
TLS 1.0	1999
TLS 1.1	2006
TLS 1.2	2008
TLS 1.3	2018

SSL 1.0[Biên tập]

ネットスケープコミュニケーションズXã がSSLの tối sơ のバージョンとして thiết kế していたが, thiết kế レビューの đoạn giai でプロトコル tự thể に đại きなThúy nhược tínhが phát kiến され, phá khí された. このため, 2018 niên hiện tại ではSSL 1.0を thật trang した chế phẩm はない.

SSL 2.0[Biên tập]

ネットスケープコミュニケーションズ xã はSSL 1.0の vấn đề を tu chính して tái thiết kế し,1994 niênにSSL 2.0として phát biểu した. また, đồng xã のウェブブラウザであるNetscape Navigator1.1においてSSL 2.0を thật trang した.

その hậu, SSL 2.0にもいくつかの thúy nhược tính が phát kiến され, SSL 3.0において tu chính された. SSL 2.0の thúy nhược tính のひとつは, ネゴシエーションの tình báo を cải thoán すると, đề kỳ する tuyển 択 chi のうち tối nhược のアルゴリズムを sử わせることができ ( ダウングレード công kích ),Cải thoánを thụ けたことを kiểm xuất できないというものである. さらに ác いことに, この thúy nhược tính を lợi dụng すると, song phương がSSL 3.0をサポートしていてもSSL 2.0で tiếp 続させることさえ khả năng になる.

SSL 3.0ではSSL 2.0との hỗ hoán tính を đề cung するにあたり, loạn sổ lĩnh vực を sử った tế công を gia えることで, このような công kích を kiểm xuất する sĩ tổ みを tổ み込んだ. しかしこの tế công が vô hiệu にされているサーバ hoàn cảnh も tồn tại し, クライアントから kiến るとSSL 2.0を vô hiệu にしない hạn りこの thúy nhược tính の ảnh hưởng を thụ ける khả năng tính を phủ định できない^[20].SSL 3.0 dĩ hàng に đối ứng した thật trang が thập phân に phổ cập したものとして,Internet Explorer 7やMozilla Firefox 2,Opera 9などは, sơ kỳ trạng thái でSSL 2.0を vô hiệu にしている^[21][22][23].この quyết định を thụ け, SSL 2.0しか đối ứng していなかったサーバでも, SSL 3.0 dĩ hàng へ đối ứng する động きが quảng まっている^[24].

SSL 2.0にはチェーン chứng minh thư がなく,ルートCAから phát hành したSSLサーバ chứng minh thư しか sử うことができない.

2011 niên 3 nguyệt,RFC6176によってSSL 2.0の sử dụng は cấm chỉ された.

SSL 3.0[Biên tập]

ネットスケープコミュニケーションズ xã はSSL 2.0の vấn đề を tu chính するとともに cơ năng truy gia を hành い,1995 niênにSSL 3.0を phát biểu した. また, Netscape Navigator 2.0においてSSL 3.0を thật trang した. SSL 3.0の sĩ dạng thư については, 2011 niên にIETFから lịch sử đích văn thư という tráp いでRFC6101として công khai された.

2014 niên 10 nguyệt にSSL 3.0の sĩ dạng thượng の thúy nhược tính (POODLE công kích) が phát kiến されたため, SSL 3.0への đối ứng を đả ち thiết り, TLS 1.0 dĩ hàng のみ đối ứng への di hành が vọng まれている. 2015 niên 6 nguyệt,RFC7568によってSSL 3.0の sử dụng は cấm chỉ された.

SSLについては, sử うべきではない.

TLS 1.0[Biên tập]

IETFのTLSワーキンググループはRFC2246としてTLS 1.0を công biểu した. TLS 1.0の tiêu chuẩn hóa tác nghiệp は1996 niênに khai thủy され, niên nội に hoàn liễu する dư định だったが, いくつかの vấn đề に trở まれ, công biểu は1999 niênまで trì diên した.

TLS 1.0が đề cung する cơ năng はSSL 3.0とあまり変わらないが, アルゴリズムやルートCAのTự kỷ thự danh chứng minh thưの thủ tráp いなどの sĩ dạng の tường tế が変 canh されたことに gia え, これまであまり thật trang されていなかった tuyển 択 chi のいくつかが tất tu と định められた. このため, TLS 1.0を thật trang した chế phẩm が phổ cập するまでには, さらに sổ niên を yếu した.

2021 niên 3 nguyệt,RFC8996によりTLS 1.0を sử dụng しないことが hô びかけられている.

なおTLS 1.0はSSL 3.0より tân しい quy cách であることを kỳ すため, ネゴシエーションにおけるバージョン phiên hào は3.1となっている.

TLS 1.1[Biên tập]

2006 niênにRFC4346としてTLS 1.1が chế định された. TLS 1.0からの変 canh điểm は, tân しく phát kiến された công kích thủ pháp に đối する nại tính の cường hóa が trung tâm である. Đặc にCBC công kích に đối する nại tính を thượng げるため,Sơ kỳ hóa ベクトルを minh kỳ đích に chỉ định することにし, さらにパディングの処 lý も cải thiện された. また, dư kỳ せぬ hồi tuyến クローズ hậu に, セッションを tái khai できるようになった. Cộng thông kiện ám hào アルゴリズムとしてAESが tuyển 択 chi に gia わった^[25].

2021 niên 3 nguyệt,RFC8996によりTLS 1.1を sử dụng しないことが hô びかけられている. 2024 niên 10 nguyệt より,WindowsはTLS 1.0, TLS 1.1をサポートしない chỉ を phát biểu した^[26].

ネゴシエーションにおけるバージョン phiên hào は3.2となっている.

TLS 1.2[Biên tập]

2008 niên8 nguyệt にRFC5246としてTLS 1.2が chế định された. ハッシュのアルゴリズムにSHA-256が truy gia されたほか,ブロック ám hàoについて, 従 lai のCBCモードだけではなく,GCM,CCMといったNhận chứng phó き ám hàoを dụng いたcipher suiteが lợi dụng khả năng となった. また, AESに quan する ký thuật がRFC5246Tự thể に hàm まれるようになった.

ネゴシエーションにおけるバージョン phiên hào は3.3となっている.

TLS 1.3[Biên tập]

Tân たなTLSのバージョンとしてTLS 1.3が đề án されてきたが^[27],IETFは2018 niên 3 nguyệt 23 nhật に, ドラフト28を tiêu chuẩn quy cách として thừa nhận し^[28][29],Đồng niên 8 nguyệt 10 nhật にRFC8446として công khai した^[30].

TLS 1.2からの変 canh điểm としては,データ áp súcの phi サポート,forward secrecyではないcipher suite ( RSAのみを dụng いたもの ) およびNhận chứng phó き ám hàoではないcipher suite (CBCモードのブロック ám hàoやRC4を dụng いたもの ) の廃 chỉ が cử げられる. なお danh xưng をTLS 2.0やTLS 4 đẳng に変 canh することが kiểm thảo されたが, tối chung đích にTLS 1.3に lạc ち trứ いた.

Ám hào スイート[Biên tập]

TLSではハンドシェイクプロトコルのClientHello・ServerHelloで, dĩ hậu の thông tín で dụng いる ám hào スイート (ciphersuite) を quyết định する. TLS 1.2を sách định しているRFC5246では, ám hào スイートを dĩ hạ のフォーマットで biểu hiện している:

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256

これは thứ の ý vị である.

• Kiện cộng hữu phương thức として dĩ hạ のものを dụng いる:
  • EDH ( Ephemeral Diffie-Hellman, hậu thuật ) の thông tín に
  • DSSThự danh したもの
• Nhận chứng ám hào として bình văn にMACをつけた hậu に cộng thông kiện ám hào hóa する ( いわゆるMAC-then-Encrypt (MtE) hình ) のもので
  • Cộng thông kiện ám hào としてCBCモードの256ビット kiệnAESを dụng い,
  • MACとしてはSHA256ハッシュ quan sổ をベースとしたHMACを dụng いる

TLS1.2では nhận chứng ám hào としてMtE hình のもののみならず, AES-GCMのような nhận chứng ám hào chuyên dụng に tác られた ám hào lợi dụng モードも dụng いる sự ができるようになった. この tràng hợp MACはそもそも tất yếu ない.

なお, RSA ám hào とRSA thự danh を tổ み hợp わせる sự で thật hiện した kiện cộng hữu phương thức に đối してはTLS_RSA_RSA_WITH…のようにRSAを2 hồi thư かず, TLS_RSA_WITH_…のように lược ký する.

Kiện cộng hữu, cộng thông kiện ám hào, ハッシュ quan sổ の toàn ての tổ み hợp わせが võng la されているわけではないので, đồng thời に lợi dụng できない tổ み hợp わせも tồn tại する.

Kiện cộng hữu[Biên tập]

SSL/TLS ( の1つ dĩ thượng のバージョンで ) sử dụng できる kiện cộng hữu phương thức は dĩ hạ のとおりである. ここでDHはDiffie-Hellmanの sự である. なおDH-ANON, ECDH-ANONはTrung gian giả công kíchに đối して thúy nhược であることから an toàn とはみなされていない.

• DH-ANON(Anonymous DH),ECDH-ANON(Anonymous ECDH) はそれぞれ, tống tín データに thự danh する sự なくDH kiện cộng hữu, ECDH kiện cộng hữu を hành う phương thức である.
• DHE-***はEphemeral DHと hô ばれるもので, kiện cộng hữu の tế クライアント, サーバがx,yをランダムに tuyển び,g^x,g^yを kế toán し, これらに thự danh văn をつけた thượng で giao hoán しあう phương thức である.g^x,g^yにつける thự danh văn を tác thành する thự danh phương thức は “***” の bộ phân に ký tái されたものを sử う.ECDHE-***はDHEの楕 viên DH bản である.
• DH-***はFixed DHもしくはnon-interactive DHと hô ばれるもので, Diffie-Hellmanで dụng いるパラメータ ( クライアントのg^x,サーバのg^y) がクライアントやサーバの công khai kiện として nhận chứng cục から công khai kiện chứng minh thư を thụ け thủ っているケースのDiffie-Hellman kiện cộng hữu である.g^x,g^yに đối する công khai kiện chứng minh thư nội の thự danh văn を tác thành する thự danh phương thức は “***” の bộ phân に ký tái されたものを sử う.ECDH-***(Fixed ECDH) はFixed DHの楕 viên DH bản である.
• RSA-***はランダムに tuyển んだ cộng hữu kiện をサーバの công khai kiện でRSA ám hào hóa し, ám hào văn を “***” で chỉ định された thự danh phương thức で thự danh したものをClientKeyExchangeにおいてクライアントがサーバに tống る phương thức である. ( ServerKeyExchangeでは hà も tống らない ).

いずれの kiện cộng hữu においても cộng hữu された kiện (premaster secret) を dụng いた nghĩ tự ランダム quan sổ にクライアントが tuyển んだ loạn sổ とサーバが tuyển んだ loạn sổ đẳng を tịnh べたものを nhập lực する sự で tối chung đích なmaster secretを đắc る. これによりリプレイ công kích を phòng いでいる.

これらの kiện cộng hữu phương thức の đối ứng trạng huống は dĩ hạ のとおりである:

TLSの các バージョンで sử dụng できる nhận chứng ・ kiện giao hoán アルゴリズム

アルゴリズム	SSL 2.0	SSL 3.0	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3	Trạng huống
RSA	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng	TLS 1.2 hướng けにRFCで định nghĩa tế み
DH-RSA	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
DHE-RSA(forward secrecy)	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng
ECDH-RSA	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
ECDHE-RSA(forward secrecy)	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng
DH-DSS	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
DHE-DSS(forward secrecy)	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng[31]
ECDH-ECDSA	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
ECDHE-ECDSA(forward secrecy)	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng
PSK(Anh ngữ bản)	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
PSK(Anh ngữ bản)-RSA	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
DHE-PSK(Anh ngữ bản)(forward secrecy)	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng
ECDHE-PSK(Anh ngữ bản)(forward secrecy)	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng
SRP(Anh ngữ bản)	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
SRP(Anh ngữ bản)-DSS	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
SRP(Anh ngữ bản)-RSA	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
KRB5	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
DH-ANON( an toàn ではない )	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng
ECDH-ANON( an toàn ではない )	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng
GOST R 34.10-94 / 34.10-2001[32]	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng		RFC thảo cảo で đề án trung

Sự tiền cộng hữu kiện(Anh ngữ bản)を dụng いた TLS_PSK,Secure Remote Password protocol(Anh ngữ bản)を dụng いた TLS_SRP,ケルベロス nhận chứngを dụng いた KRB5 も tồn tại する.

Độc lập quốc gia cộng đồng thểのGOST quy cáchによって quy định された kiện cộng hữu アルゴリズムであるGOST R 34.10も đề án されている ( đồng じGOST quy cách による ám hào hóa ・ cải thoán kiểm xuất アリゴリズムとの tổ み hợp わせに hạn định )^[32].

Nhận chứng ám hào[Biên tập]

Cộng thông kiện ám hào[Biên tập]

Nhận chứng ám hào に dụng いるCộng thông kiện ám hàoとして dĩ hạ のものがある.

TLS/SSLの các バージョンで sử dụng できる ám hào hóa アルゴリズム

Ám hào hóa			プロトコルバージョン						Trạng huống
Chủng loại	アルゴリズム	Ám hào cường độ (bit)	SSL 2.0	SSL 3.0 [ chú 1][ chú 2][ chú 3][ chú 4]	TLS 1.0 [ chú 1][ chú 3]	TLS 1.1 [ chú 1]	TLS 1.2 [ chú 1]	TLS 1.3
ブロック ám hào (Ám hào lợi dụng モード)	AESGCM[33][ chú 5]	256, 128	N/A	N/A	N/A	N/A	An toàn	An toàn	TLS 1.2 hướng けにRFCで định nghĩa tế み
	AESCCM[34][ chú 5]		N/A	N/A	N/A	N/A	An toàn	An toàn
	AESCBC[ chú 6]		N/A	N/A	Thật trang による	An toàn	An toàn	N/A
	CamelliaGCM[35][ chú 5]	256, 128	N/A	N/A	N/A	N/A	An toàn	N/A
	CamelliaCBC[36][ chú 6]		N/A	N/A	Thật trang による	An toàn	An toàn	N/A
	ARIAGCM[37][ chú 5]	256, 128	N/A	N/A	N/A	N/A	An toàn	N/A
	ARIACBC[37][ chú 6]		N/A	N/A	Thật trang による	An toàn	An toàn	N/A
	SEEDCBC[38][ chú 6]	128	N/A	N/A	Thật trang による	An toàn	An toàn	N/A
	3DES EDECBC[ chú 6]	112[ chú 7]	An toàn ではない	An toàn ではない	Cường độ bất túc, thật trang による	Cường độ bất túc	Cường độ bất túc	N/A
	GOST 28147-89(Anh ngữ bản)CNT[32]	256	N/A	N/A	An toàn	An toàn	An toàn	N/A	RFC thảo cảo で đề án trung
	IDEACBC[ chú 6][ chú 8]	128	An toàn ではない	An toàn ではない	Thật trang による	An toàn	N/A	N/A	TLS 1.2で廃 chỉ
	DESCBC[ chú 6][ chú 8]	056	An toàn ではない	An toàn ではない	An toàn ではない	An toàn ではない	N/A	N/A
		040[ chú 9]	An toàn ではない	An toàn ではない	An toàn ではない	N/A	N/A	N/A	TLS 1.1 dĩ hàng で lợi dụng cấm chỉ
	RC2CBC[ chú 6]	040[ chú 9]	An toàn ではない	An toàn ではない	An toàn ではない	N/A	N/A	N/A
ストリーム ám hào	ChaCha20+Poly1305[41][ chú 5]	256	N/A	N/A	N/A	N/A	An toàn	An toàn	TLS 1.2 hướng けにRFCで định nghĩa tế み
	RC4[ chú 10]	128	An toàn ではない	An toàn ではない	An toàn ではない	An toàn ではない	An toàn ではない	N/A	Toàn バージョンにおいて lợi dụng cấm chỉ
		040[ chú 9]	An toàn ではない	An toàn ではない	An toàn ではない	N/A	N/A	N/A
Ám hào hóa なし	Null[ chú 11]	-	N/A	An toàn ではない	An toàn ではない	An toàn ではない	An toàn ではない	N/A	TLS 1.2 hướng けにRFCで định nghĩa tế み

AESCBCはTLS 1.0を định nghĩa するRFC2246には hàm まれていないが,RFC3268で truy gia された. TLS 1.1を định nghĩa するRFC4346からはRFC3268が tham chiếu されており, さらにTLS 1.2では định nghĩa であるRFC5246にAES CBCに quan する ký thuật が thủ り込まれた. また,Nhận chứng phó き ám hàoによるAESGCM(RFC5288,RFC5289),AESCCM(RFC6655,RFC7251) が truy gia されている.IDEACBC,DESCBCはTLS 1.2で廃 chỉ された (RFC5469に giải thuyết がある ).

ブロック ám hàoのCBCモードでの lợi dụng については, TLS 1.0 dĩ tiền においてBEAST công kíchと hô ばれる công kích が khả năng であることが minh らかとなっており, クライアント trắc, サーバ trắc での đối ứng が tất yếu とされている. TLS 1.1 dĩ hàng ではこの công kích への căn bổn đích な đối 処としてSơ kỳ hóa ベクトルを minh kỳ đích に chỉ định し, パディングの処 lý が cải thiện された. ブロック ám hào であってもGCM,CCMなどのNhận chứng phó き ám hàoを dụng いる tràng hợp にはこれらの công kích を thụ けない.

ストリーム ám hàoであるRC4は tiền thuật のBEAST công kích を thụ けることはないが, RC4には sĩ dạng thượng の thúy nhược tính が tồn tại する (RC4 công kích). 2015 niên 2 nguyệt, TLSのすべてのバージョンにおいてRC4の lợi dụng を cấm chỉ するRFC7465が công khai された. ストリーム ám hào であるChaCha20と nhận chứng のためのPoly1305を tổ み hợp わせたChaCha20+Poly1305がRFC7905として tiêu chuẩn hóa されている.

いくつかの quốc gia tiêu chuẩn に cơ づく ám hào hóa アルゴリズムもTLSで lợi dụng khả năng であり,Nhật bổnのCRYPTRECによる thôi thưởng ám hào であるCamellia( CBCモード:RFC4132,RFC5932,RFC6367,GCM:RFC6367),Hàn quốcの tình báo thông tín tiêu chuẩn quy cách に thải dụng されているSEED( CBCモード:RFC4162),ARIA( CBCモードおよびGCM:RFC6209) が truy gia されている. また,Độc lập quốc gia cộng đồng thểのGOST quy cáchによって quy định された ám hào hóa アルゴリズムであるGOST 28147-89も đề án されている^[32].

SSLが thiết kế された đương thời は,アメリカ hợp chúng quốcによってCao cường độ ám hào アルゴリズムの thâu xuất が quy chế されていた.そのため, toàn thế giới で cộng thông して lợi dụng できるアルゴリズムとして, DES・RC2・RC4に quan して ám hào cường độ を40ビットに chế hạn したものが đạo nhập されていた. これらはTLS 1.1 dĩ hàng では lợi dụng が cấm chỉ されている.

また, kiện cộng hữu のみを hành い ám hào hóa は hành わないこと (NULL) も khả năng であるが, bình văn でのやりとりとなることから an toàn とはみなされていない.

MAC[Biên tập]

TLS/SSLの các バージョンで sử dụng できるMACの tuyển 択 chi は dĩ hạ のとおりである. Hạ lan の “AEAD” ( Authenticated Encryption with Associated Data, nhận chứng ám hào ) は, cộng thông kiện ám hào として nhận chứng ám hào を tuyển んでいるのでMACを dụng いない sự を ý vị する.

TLS/SSLの các バージョンで sử dụng できる cải thoán kiểm xuất

アルゴリズム	SSL 2.0	SSL 3.0	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3	Trạng huống
HMAC-MD5	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng	TLS 1.2 hướng けにRFCで định nghĩa tế み
HMAC-SHA1	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
HMAC-SHA256/384	Phi đối ứng	Phi đối ứng	Phi đối ứng	Phi đối ứng	Đối ứng	Phi đối ứng
AEAD	Phi đối ứng	Phi đối ứng	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng
GOST 28147-89 IMIT(Anh ngữ bản)[32]	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng	RFC thảo cảo で đề án trung
GOST R 34.11-94(Anh ngữ bản)[32]	Phi đối ứng	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng

Độc lập quốc gia cộng đồng thểのGOST quy cáchによって quy định されたアルゴリズムであるGOST 28147-89に cơ づくMACおよび, GOST R 34.11も đề án されている ( đồng じGOST quy cách による kiện cộng hữu ・ ám hào hóa アリゴリズムとの tổ み hợp わせに hạn định )^[32].

Thật trang[Biên tập]

ウェブサイト[Biên tập]

ウェブサイトにおけるTLS/SSLの đối ứng trạng huống

プロトコル	ウェブサイトにおけるサポート[42]	セキュリティ[42][43]
SSL 2.0	0.2%	An toàn ではない
SSL 3.0	1.7%	An toàn ではない[44]
TLS 1.0	29.5%	Ám hào アルゴリズム[ chú 1]および thúy nhược tính への đối 処[ chú 2]による
TLS 1.1	31.8%	Ám hào アルゴリズム[ chú 1]および thúy nhược tính への đối 処[ chú 2]による
TLS 1.2	99.9%	Ám hào アルゴリズム[ chú 1]および thúy nhược tính への đối 処[ chú 2]による
TLS 1.3	66.2%	An toàn

Chú

ウェブブラウザ[Biên tập]

2021 niên 1 nguyệt hiện tại, chủ yếu なウェブブラウザの tối tân bản ではTLS 1.2, 1.3が kí định で hữu hiệu であるが, quá khứ のバージョンのOS hướng けなどサポートが継続しているウェブブラウザのいくつかのバージョンではそうではない.

• TLS 1.3に đối ứng しているが kí định で vô hiệu: Internet Explorer 11 ( Windows 10 バージョン1903 dĩ hàng )
• TLS 1.3に vị đối ứng: Internet Explorer 11 ( Windows 10 バージョン1903より tiền )

TLS 1.0, 1.1は thúy nhược tính が nguy cụ され^[45],2020 niên から vô hiệu hóa が thật thi され thủy めている^[46].

Kí tri の thúy nhược tính のいくつかへの đối ứng は thập phân ではない.

• POODLE công kíchへの đối ứng: いくつかのブラウザではTLS_FALLBACK_SCSVを thật trang tế みでSSL 3.0へのフォールバックを ức chỉ することが khả năng となっているが, これはクライアント trắc だけでなくサーバ trắc での đối ứng も tất yếu である. SSL 3.0そのものの vô hiệu hóa, "anti-POODLE record splitting" の thật trang, あるいはSSL 3.0におけるCBCモードのcipher suiteの vô hiệu hóa が căn bổn đích な đối sách となる.
  • Google Chrome: Hoàn liễu ( バージョン33においてTLS_FALLBACK_SCSVを thật trang, バージョン39においてSSL 3.0へのフォールバックを vô hiệu hóa, バージョン40においてSSL 3.0を kí định で vô hiệu hóa. バージョン44においてSSL 3.0のサポートを廃 chỉ )
  • Mozilla Firefox: Hoàn liễu ( バージョン34においてSSL 3.0を kí định で vô hiệu hóa およびSSL 3.0へのフォールバックを vô hiệu hóa, バージョン35においてTLS_FALLBACK_SCSVを thật trang. Diên trường サポート bản でもESR 31.3においてSSL 3.0を vô hiệu hóa およびTLS_FALLBACK_SCSVを thật trang. バージョン39においてSSL 3.0のサポートを廃 chỉ )
  • Internet Explorer: Bộ phân đích ( バージョン11のみ, 2015 niên 2 nguyệt のアップデートにおいて bảo hộ モードにおけるSSL 3.0へのフォールバックを kí định で vô hiệu hóa. 2015 niên 4 nguyệt にSSL 3.0 tự thể を kí định で vô hiệu hóa. バージョン10 dĩ tiền では đối sách は giảng じられていない )
  • Opera: Hoàn liễu ( バージョン20においてTLS_FALLBACK_SCSVを thật trang, バージョン25において "anti-POODLE record splitting" を thật trang, バージョン27においてSSL 3.0を kí định で vô hiệu hóa. バージョン31においてSSL 3.0のサポートを廃 chỉ )
  • Safari: Hoàn liễu (OS X v10.8Dĩ hàng およびiOS 8.1 dĩ hàng のみ, POODLEへの đối sách としてSSL 3.0においてCBCモードのcipher suiteを vô hiệu hóa した. これによりPOODLEの ảnh hưởng を thụ けることはなくなるが, SSL 3.0においてCBCモードを vô hiệu hóa したことで, thúy nhược tính が chỉ trích されているRC4しか lợi dụng できなくなるという vấn đề が sinh じている.OS X v10.11およびiOS 9においてSSL 3.0のサポートを廃 chỉ )
• RC4 công kíchへの đối ứng
  • Google Chromeでは, バージョン43 dĩ hàng はホストがRC4 dĩ ngoại のアルゴリズムを dụng いたCipher Suiteに đối ứng していない tràng hợp に hạn りRC4を dụng いたCipher Suiteがフォールバックとして lợi dụng されるようになった. バージョン48 dĩ hàng では, RC4を dụng いたCipher Suiteのすべてが kí định で vô hiệu hóa された.
  • Firefoxでは, バージョン36 dĩ hàng はホストがRC4 dĩ ngoại のアルゴリズムを dụng いたCipher Suiteに đối ứng していない tràng hợp に hạn りRC4を dụng いたCipher Suiteがフォールバックとして lợi dụng されるようになった. バージョン44 dĩ hàng では, RC4を dụng いたCipher Suiteのすべてが kí định で vô hiệu hóa された.
  • Operaでは, バージョン30 dĩ hàng はホストがRC4 dĩ ngoại のアルゴリズムを dụng いたCipher Suiteに đối ứng していない tràng hợp に hạn りRC4を dụng いたCipher Suiteがフォールバックとして lợi dụng されるようになった. バージョン35 dĩ hàng では, RC4を dụng いたCipher Suiteのすべてが kí định で vô hiệu hóa された.
  • Windows 7 / Server 2008 R2およびWindows 8 / Server 2012 hướng けのInternet Explorerでは, RC4の ưu tiên độ を tối đê としている. Windows 8.1 / Server 2012 R2 hướng けのInternet Explorer 11およびWindows Phone 8.1 hướng けのInternet Explorer Mobile 11およびWindows 10 hướng けのEdgeでは, ホストが tha のアルゴリズムに phi đối ứng の tràng hợp のフォールバックを trừ きRC4を vô hiệu としている ( Windows 7 / Server 2008 R2およびWindows 8 / Server 2012 hướng けのInternet Explorerでもレジストリからフォールバックを trừ きRC4を vô hiệu hóa することが khả năng ). 2016 niên 8 nguyệt の nguyệt lệ アップデートにおいて, Inter Explorer 11およびEdgeにおいてRC4を dụng いたCipher Suiteのすべてが kí định で vô hiệu hóa.
• FREAK công kíchへの đối ứng:
  • Android4 dĩ tiền のTiêu chuẩn ブラウザはFREAK công kích に đối して thúy nhược である.
  • Internet Explorer 11 MobileはFREAK công kích に đối して thúy nhược である.
  • Google Chrome ( Windows bản を trừ く ), Internet Explorer, Safari ( デスクトップ bản, iOS bản ), Opera ( Windows bản を trừ く ) はFREAK công kích に đối して đối ứng tế みである.
  • Mozilla Firefox, Google Chrome ( Windows bản ), Opera ( Windows bản ) はFREAK công kích の ảnh hưởng を thụ けない.

ライブラリ[Biên tập]

TLS/SSLライブラリの đa くはオープンソースソフトウェアである.

ライブラリにおけるTLS/SSLの đối ứng trạng huống

Thật trang	SSL 2.0 ( an toàn ではない )	SSL 3.0 ( an toàn ではない )	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3
Botan	Phi đối ứng	Phi đối ứng[177]	Đối ứng	Đối ứng	Đối ứng
cryptlib(Anh ngữ bản)	Phi đối ứng	Kí định で hữu hiệu	Đối ứng	Đối ứng	Đối ứng
GnuTLS	Phi đối ứng[ chú 1]	Kí định で vô hiệu[178]	Đối ứng	Đối ứng	Đối ứng	Đối ứng(ドラフト bản )[179]
Java Secure Socket Extension(Anh ngữ bản)	Phi đối ứng[ chú 1]	Kí định で vô hiệu[180]	Đối ứng	Đối ứng	Đối ứng	Đối ứng
LibreSSL	Phi đối ứng[181]	Kí định で vô hiệu[182]	Đối ứng	Đối ứng	Đối ứng
MatrixSSL(Anh ngữ bản)	Phi đối ứng	コンパイル thời điểm で kí định で vô hiệu[183]	Đối ứng	Đối ứng	Đối ứng	Đối ứng(ドラフト bản )
mbed TLS(Anh ngữ bản)	Phi đối ứng	Kí định で vô hiệu[184]	Đối ứng	Đối ứng	Đối ứng
Network Security Services	Kí định で vô hiệu[ chú 2]	Kí định で vô hiệu[186]	Đối ứng	Đối ứng[187]	Đối ứng[188]	Đối ứng[189]
OpenSSL	Kí định で vô hiệu[190]	Kí định で hữu hiệu	Đối ứng	Đối ứng[191]	Đối ứng[191]	Đối ứng[192]
RSA BSAFE(Anh ngữ bản)[193]	Phi đối ứng	Đối ứng	Đối ứng	Đối ứng	Đối ứng	Vị đối ứng
SChannel XP/2003[194]	IE 7から kí định で vô hiệu	Kí định で hữu hiệu	IE 7から kí định で hữu hiệu	Phi đối ứng	Phi đối ứng	Phi đối ứng
SChannel Vista/2008[195]	Kí định で vô hiệu	Kí định で hữu hiệu	Đối ứng	Phi đối ứng	Phi đối ứng	Phi đối ứng
SChannel 7/2008R2[196]	Kí định で vô hiệu	IE 11から kí định で vô hiệu	Đối ứng	IE 11から kí định で hữu hiệu	IE 11から kí định で hữu hiệu	Phi đối ứng
SChannel 8/1012[196]	Kí định で vô hiệu	Kí định で hữu hiệu	Đối ứng	Kí định で vô hiệu	Kí định で vô hiệu	Phi đối ứng
SChannel 8.1/2012R2, 10 v1507/v1511[196]	Kí định で vô hiệu	IE 11から kí định で vô hiệu	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
SChannel 10 v1607/2016[197]	Phi đối ứng	Kí định で vô hiệu	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng
Secure Transport OS X v10.2-10.8 / iOS 1-4	Đối ứng	Đối ứng	Đối ứng	Phi đối ứng	Phi đối ứng
Secure Transport OS X v10.9-10.10 / iOS 5-8	Phi đối ứng[ chú 3]	Đối ứng	Đối ứng	Đối ứng[ chú 3]	Đối ứng[ chú 3]
Secure Transport OS X v10.11 / iOS 9	Phi đối ứng	Phi đối ứng[ chú 3]	Đối ứng	Đối ứng	Đối ứng
SharkSSL	Phi đối ứng	Kí định で vô hiệu	Đối ứng	Đối ứng	Đối ứng
wolfSSL	Phi đối ứng	Kí định で vô hiệu[200]	Đối ứng	Đối ứng	Đối ứng	Đối ứng[201]
Thật trang	SSL 2.0 ( an toàn ではない )	SSL 3.0 ( an toàn ではない )	TLS 1.0	TLS 1.1	TLS 1.2	TLS 1.3

Chú

Khóa đề[Biên tập]

バーチャルホスト[Biên tập]

TLSは, TCP/IPネットワークでホスト danh ベースのバーチャルホストを cấu thành する tế に vấn đề となる. TCP/IPでは thông tín を khai thủy する tiền にホスト danh をGiải quyếtし, thật tế にはIPアドレスとポート phiên hào で tiếp 続 tiên を thức biệt している. このためTLSのネゴシエーションの thời điểm では, バーチャルホストのうちどのホスト danh を kỳ đãi しているのか phán đoạn できず, ホスト danh ごとに dị なるサーバー chứng minh thư を sử い phân けることができない.

TLSの拡 trương cơ năng を định nghĩa するRFC6066では, ネゴシエーション thời にホスト danh を vân える thủ đoạn としてServer Name Indication(SNI) を quy định している. Dụng lệ としては,HTTPの tối tân バージョンであるHTTP/2においてTLSを lợi dụng する tế はSNIの lợi dụng が tất tu とされている.

Nhất phương, chứng minh thư を sử い phân けず, 1つの chứng minh thư を phục sổ のバーチャルホストで sử い hồi す phương thức も quảng く lợi dụng されている.X.509Chứng minh thư のフォーマットについて ký thuật したRFC5280では, phát hành tiên ホスト danh を bảo trì するsubjectAltNameはひとつの chứng minh thư に phục sổ のエントリを tác thành できると quy định している. これを lợi dụng して, ホストに thâu dung されたすべてのバーチャルホストに đối ứng したsubjectAltNameを bảo trì する chứng minh thư をクライアントに đề kỳ すれば lương い.

また, phát hành tiên ホスト danh にワイルドカードを sử う phương pháp も khảo えられる. HTTP over SSL/TLS (HTTPS) を định nghĩa するRFC2818は, ワイルドカードの thích dụng について ký thuật している. バーチャルホストの đối tượng が, ひとつのドメイン danh の trung のホストであれば, この phương pháp で đối ứng できる tràng hợp もある.

どの phương pháp も thật trang によって đối ứng trạng huống にバラつきがあり, hoàn cảnh によっては sử えない khả năng tính がある. なおIPアドレスベースのバーチャルホストであれば, ネゴシエーションの thời điểm で xác thật にどのバーチャルホストを kỳ đãi しているか phán đoạn できるので, vấn đề なく chứng minh thư を sử い phân けることができる.

TLS/SSLの kí tri の thúy nhược tính[Biên tập]

TLS/SSLに đối する công kích のうち chủ なものを dĩ hạ に cử げる. 2015 niên 2 nguyệt に, TLS/SSLに đối する kí tri の công kích についての tình báo をまとめたRFC7457がIETFから công khai されている.

Ám hào の nguy đãi hóa を lợi dụng したもの[Biên tập]

TLS 1.2ではすでに nguy đãi hóa したRC4, MD5, SHA1が tuyển 択 khả năng であり, この sự が thúy nhược tính の nguyên nhân となっている.

MD5はすでに trùng đột が dung dịch に kiến つかるレベルまで nguy đãi hóa しているため, これを lợi dụng したSLOTH công kích(CVE-2015-7575) が tri られている.

SHA1もFreestart Collision^[202]が kiến つかっており an toàn ではない.

RC4[Biên tập]

RC4もTLSのすべてのバージョンにおいて lợi dụng を cấm chỉ するRFC7465が công khai された.MozillaおよびマイクロソフトではRC4を vô hiệu hóa することを thôi thưởng している^{[203][204][205][206]}.

RC4そのものに đối する công kích pháp は đa く báo cáo されているが, TLS/SSLにおいてRC4を dụng いたCipher Suiteについては, その thúy nhược tính に đối 処されており an toàn であると khảo えられていた. 2011 niên には, ブロック ám hào のCBCモードの thủ り tráp いに quan する thúy nhược tính であったBEAST công kích への đối ứng sách の nhất つとして, ストリーム ám hào であるためその ảnh hưởng を thụ けないRC4に thiết り thế えることが thôi thưởng されていた^[207].しかし, 2013 niên にTLS/SSLでのRC4への hiệu quả đích な công kích が báo cáo され, BEASTへの đối ứng としてRC4を dụng いることは hảo ましくないとされた^[208].RC4に đối する công kích は, AlFardan, Bernstein, Paterson, Poettering, Schuldtによって báo cáo された. Tân たに phát kiến されたRC4の kiện テーブルにおける thống kế đích な thiên り^[209]を lợi dụng し, bình văn の nhất bộ を hồi phục khả năng であるというものである^[210][211].この công kích では, 13 × 2²⁰の ám hào văn を dụng いることで128ビットのRC4が giải đọc khả năng であることが kỳ され, 2013 niên のUSENIXセキュリティシンポジウムにおいて “Thật hiện khả năng” と bình された^[212][213].2013 niên hiện tại では,NSAのような cơ quan であればTLS/SSLを lợi dụng したとしてもRC4を giải đọc khả năng であるとの nghi hoặc がある^[214].

2015 niên hiện tại ではクライアントのほとんどは kí にBEASTへの đối 処が hoàn liễu していることから, RC4はもはや tối lương の tuyển 択 chi ではなくなっており, TLS 1.0 dĩ tiền においてもCBCモードを dụng いることがより lương い tuyển 択 chi となっている^[215].

ダウングレード công kích[Biên tập]

FREAK および Logjam[Biên tập]

かつてアメリカ hợp chúng quốc からの ám hào の thâu xuất quy chếが nghiêm しかった thời kỳ に, quy chế を hồi tị するために nhất thời đích に512ビットのRSA kiện を sinh thành して, そちらで thông tín を hành うというような thủ pháp が tồn tại した^[216].この thủ pháp については, nhất thời đích な công khai kiện をTố nhân sổ phân giảiすることが khả năng であればTrung gian giả công kíchが thành lập することが1998 niên thời điểm で chỉ trích されていたが^[217],コンピュータの tính năng hướng thượng,クラウドコンピューティングの phổ cập により tố nhân sổ phân giải が cá nhân レベルですら hiện thật đích となったこと, さらに2015 niênには,OpenSSL,Safari,AndroidなどではThâu xuất dụng でないÁm hào スイートでも512ビットの nhất thời kiện を thụ け nhập れてしまう thật trang となっていたことが phán minh し,FREAK(Factoring RSA Export Keys)^[218]として vấn đề が tái phù thượng している.

Đối sách としては, すでに thúy nhược となっている thâu xuất đối ứng ám hào の vô hiệu hóa, クライアント trắc では quy cách thư thông り, thâu xuất ám hào dĩ ngoại で nhất thời đích RSA kiện を sử わないようにする^[219],ということが cử げられる.

2015 niên 5 nguyệt,Logjamと hô ばれる thúy nhược tính が phát kiến された. これも, FREAKと đồng dạng に thâu xuất dụng の512ビットの nhất thời kiện を thụ け nhập れてしまうものである^[220].FREAKとは dị なり, LogjamはTLSプロトコル tự thể の thúy nhược tính である. Phát kiến thời điểm において, chủ yếu なブラウザのすべてがLogjamに đối して thúy nhược である.

バージョンロールバック công kích[Biên tập]

False Start^[221](Google Chromeで hữu hiệu hóa された^[222]) やSnap StartといったTLS/SSLを cao tốc hóa する変 pháp は, công kích giả が nhất định điều kiện hạ において bổn lai lợi dụng khả năng なTLS/SSLのバージョンよりも đê いバージョンでTLS/SSL tiếp 続を hành うよう sĩ hướng けること^[223]や, クライアントからサーバへ tống られる lợi dụng khả năng なCipher Suiteの nhất lãm を cải thoán し, より đê い ám hào cường độ やより nhược い ám hào hóa アルゴリズム・ kiện giao hoán アルゴリズムを sử dụng するよう sĩ hướng けること^[224]が khả năng であると báo cáo されている. さらに, đặc định の hoàn cảnh においては, công kích giả がオフラインで ám hào hóa に dụng いられた kiện を hồi phục し, ám hào hóa されたデータにアクセスすることも khả năng であることがAssociation for Computing Machinery(ACM) のコンピュータセキュリティカンファレンスで báo cáo された^[225].

Mac-then-Encrypt hình の nhận chứng ám hào に quan するもの[Biên tập]

BEAST công kích[Biên tập]

2011 niên 9 nguyệt 23 nhật, ám hào nghiên cứu giả のThai DuongとJuliano Rizzoが,BEAST(Browser Exploit Against SSL/TLS)^[226]と hô ばれるTLS 1.0におけるブロック ám hàoのCBCモードの thủ り tráp いに quan する thúy nhược tính のコンセプトをJavaアプレットのĐồng nhất sinh thành nguyên ポリシーVi phản によって thật chứng した^[227][228].この thúy nhược tính そのものは2002 niên にPhillip Rogawayによって phát kiến されていた^[229]が, 2011 niên の phát biểu までは thật dụng đích なエクスプロイトは báo cáo されていなかった.

2006 niên に phát biểu されたTLS 1.1においてBEASTへの thúy nhược tính は tu chính されていたが, 2011 niên の thật chứng までTLS 1.1への đối ứng はクライアント, サーバの song phương でほとんど tiến んでいなかった.

Google ChromeおよびFirefoxはBEASTによる ảnh hưởng を trực tiếp đích に thụ けることはないが^[230][231],MozillaはTLS/SSLのためのライブラリであるNetwork Security Services(NSS) に đối して, BEASTおよびそれに loại tự したTuyển 択 bình văn công kíchに đối するTLS 1.0 dĩ tiền で hữu hiệu な đối ứng sách を2011 niên に thi した. NSSは,Mozilla FirefoxなどのMozillaのソフトウェアだけでなく,Google Chromeなど tha のブラウザでも dụng いられているライブラリである. NSSでのTLS 1.1 dĩ hàng への đối ứng は2012 niên までずれこみ, FirefoxでTLS 1.1 dĩ hàng を kí định で lợi dụng khả năng となったのは2014 niên のバージョン27である.

マイクロソフトは2012 niên 1 nguyệt 10 nhật にSecurity Bulletin MS12-006を phát biểu し, Windowsで dụng いられているライブラリであるSChannelに đối して tu chính を gia えた^[232].Windows 7Dĩ hàng では, TLS 1.1 dĩ hàng が lợi dụng khả năng である.

AppleChế phẩm では,macOSではv10.9においてTLS 1.1 dĩ hàng への đối ứng およびTLS 1.0 dĩ tiền におけるBEAST thúy nhược tính への đối ứng がなされているが, v10.8 dĩ tiền では, TLS 1.1 dĩ hàng への đối ứng, TLS 1.0 dĩ tiền におけるBEAST thúy nhược tính への đối ứng のいずれも hành われていない.iOSでは, 5 dĩ hàng ではTLS 1.1 dĩ hàng が lợi dụng khả năng であるが, TLS 1.0 dĩ tiền におけるBEAST thúy nhược tính への đối ứng は hành われていない. iOS 7ではじめてTLS 1.0 dĩ tiền におけるBEAST thúy nhược tính への đối ứng が hành われた.

パディング công kích[Biên tập]

TLSの sơ kỳ のバージョンはパディングオラクル công kích に đối して thúy nhược であることが2002 niên に báo cáo された.

Lucky Thirteen[Biên tập]

2013 niên には,Lucky ThirteenCông kích (Anh ngữ bản) と hô ばれる tân たなパディング công kích が báo cáo されている. 2014 niên hiện tại では, đa くの thật trang においてLucky Thirteen công kích に đối して đối ứng tế みである.

POODLE công kích[Biên tập]

2014 niên 9 nguyệt 15 nhật,Googleの nghiên cứu giả によって, SSL 3.0の thiết kế に thúy nhược tính が tồn tại することが phát biểu された^[233](CVE-2014-3566). これは, SSL 3.0においてブロック ám hào をCBCモードで sử dụng した tế にパディング công kíchが khả năng となるものであり,POODLE(Padding Oracle On Downgraded Legacy Encryption) と danh phó けられた. Bình quân してわずか256 hồi のリクエストで ám hào văn の1バイトの giải đọc が khả năng となる^[44][234].CVE IDはCVE-2014-3566である.

この thúy nhược tính はSSL 3.0の sĩ dạng のみに tồn tại するものでありTLS 1.0 dĩ hàng に ảnh hưởng はないが, chủ yếu なすべてのブラウザではTLSでのハンドシェイクが thất bại した tràng hợp にSSL 3.0での tiếp 続にダウングレードする. そのため, công kích giả はバージョンロールバック công kíchによってSSL 3.0での tiếp 続を hành わせることでこの thúy nhược tính を lợi dụng khả năng となる^[44][234].

POODLE công kích への căn bổn đích な đối 処 pháp は, thiếu なくともクライアント, サーバのどちらかでSSL 3.0を vô hiệu hóa することである. しかし, cổ いクライアント, サーバなどではTLS 1.0 dĩ hàng に đối ứng していないため, hỗ hoán tính を khảo lự してSSL 3.0を vô hiệu hóa できない tràng hợp がある. そこで, POODLEの phát kiến giả は, TLS_FALLBACK_SCSV^[235]の thật trang を thôi thưởng している. この thật trang によりTLSからSSL 3.0へのフォールバックが ức chỉ されるが^[44][234],これはクライアント trắc だけでなくサーバ trắc の đối ứng も tất yếu である.

Google ChromeブラウザやGoogleサービスのサーバは kí にTLS_FALLBACK_SCSVに đối ứng しており, gia えて sổ か nguyệt dĩ nội にこれらクライアント, サーバからSSL 3.0のサポートを trừ khứ する dư định である^[234].2014 niên 11 nguyệt リリースのバージョン39においてSSL 3.0へのフォールバックを, 2015 niên 1 nguyệt リリースのバージョン40においてSSL 3.0そのものを kí định で vô hiệu hóa している.

OperaもGoogle Chromeと đồng dạng にTLS_FALLBACK_SCSVを thật trang tế みであるほか, バージョン25において "anti-POODLE record splitting" と hô ばれる dị なる đối sách を thật trang した^[236].

Mozillaでは2014 niên 12 nguyệt リリースのMozilla Firefox34およびESR 31.3からSSL 3.0を vô hiệu hóa したほか, Firefox 35においてTLS_FALLBACK_SCSVをサポートした^[237].

マイクロソフトでは, グループポリシーからSSL 3.0を vô hiệu hóa する phương pháp を công khai しているほか^[238],10 nguyệt 29 nhật にWindows Vista, Server 2003およびそれ dĩ hàng のIEにおいてSSL 3.0を vô hiệu hóa する "Fix it" を công khai し, sổ か nguyệt dĩ nội にIEおよびマイクロソフトのオンラインサービスにおいてSSL 3.0を kí định で vô hiệu hóa する phương châm を biểu minh した^[239].2015 niên 2 nguyệt のアップデートにおいて, IE 11の bảo hộ モードにおいてSSL 3.0へのフォールバックを kí định で vô hiệu hóa した^[240].Gia えて, 2015 niên 4 nguyệt にIE 11においてSSL 3.0 tự thể を kí định で vô hiệu hóa した^[241].

Safari( OS X v10.8 dĩ hàng およびiOS 8.1 dĩ hàng ) では, POODLEへの đối sách としてSSL 3.0においてCBCモードのcipher suiteを vô hiệu hóa した^[242][243].これによりPOODLEの ảnh hưởng を thụ けることはなくなるが, SSL 3.0においてCBCモードを vô hiệu hóa したことで, thúy nhược tính が chỉ trích されているRC4しか lợi dụng できなくなるという vấn đề が sinh じている.

サーバ trắc では,NSSが2014 niên 10 nguyệt 3 nhật にリリースされたバージョン3.17.1および10 nguyệt 27 nhật にリリースされた3.16.2.3でTLS_FALLBACK_SCSVに đối ứng したほか^[244][245],2015 niên 4 nguyệt までにSSL 3.0を kí định で vô hiệu hóa する dư định である^[246].OpenSSLは, 10 nguyệt 15 nhật リリースのバージョン1.0.1j, 1.0.0, 0.9.8zcでTLS_FALLBACK_SCSVに đối ứng した^[247].LibreSSLでは, 10 nguyệt 16 nhật リリースのバージョン2.1.1でSSL 3.0を kí định で vô hiệu hóa した^[248].

2014 niên 12 nguyệt 8 nhật に, SSL 3.0ではなくTLS 1.0から1.2に đối して hữu hiệu なPOODLE công kích の変 pháp が báo cáo された. この変 pháp はTLSの sĩ dạng においてサーバ trắc に yếu cầu されているパディングのチェックを chính しく hành わない thật trang において, SSL 3.0を vô hiệu にしていたとしてもPOODLE công kích が khả năng となるというものである^[249].すなわち, SSL 3.0に đối するものが sĩ dạng そのものの thúy nhược tính であるのに đối し, TLS 1.0 dĩ hàng に đối するものは bất thích thiết な thật trang による thúy nhược tính である. SSL Pulseでは, công khai tiền の thời điểm でHTTPS đối ứng のサーバのうちおよそ10%がこの変 pháp に đối して thúy nhược であるとしている^[250].この変 pháp のCVE IDはCVE-2014-8730である. この変 pháp では, SSL 3.0へダウングレードさせる tất yếu がなくTLS 1.2のままで công kích が khả năng であるなど, オリジナルのSSL 3.0に đối するPOODLE công kích よりも thật hành が dung dịch であるとされる^[251].

Áp súc サイドチャネル công kích[Biên tập]

TLS1.2では bình văn を áp súc した hậu に ám hào hóa を thi す. しかし áp súc hậu の bình văn のビット trường さは áp súc tiền の bình văn に y tồn し, しかも ám hào văn のビット trường は ám hào hóa する văn thư ＝ áp súc hậu の bình văn のビット trường に y tồn するので, ám hào văn trường から bình văn の tình báo が công kích giả に lậu れてしまう. この sự thật を lợi dụng した công kích をÁp súc サイドチャネル công kíchという. TLS1.2には dĩ hạ の dạng な áp súc サイドチャネル công kích が tri られている.

CRIME công kích[Biên tập]

2012 niên にBEAST công kích の báo cáo giả によって, TLSにおいてデータ áp súc が hữu hiệu な tràng hợp において, bổn lai đệ tam giả に đối して bí mật であるべきCookieの nội dung が hồi phục khả năng となるCRIME(Compression Ratio Info-leak Made Easy,Anh ngữ bản) が báo cáo された^[252][253].ウェブサイトでのユーザ nhận chứng に sử われているCookieの nội dung を hồi phục されることで,セッションハイジャックが khả năng となる. 2012 niên 9 nguyệt にはMozilla FirefoxおよびGoogle ChromeにおいてCRIMEへの đối ứng が thật thi された. また, マイクロソフトによればInternet ExplorerはCRIMEの ảnh hưởng を thụ けない.

CRIMEの báo cáo giả によって, CRIMEがTLS dĩ ngoại にもデータ áp súc を lợi dụng するSPDYやHTTPといったプロトコルにも quảng く thích dụng khả năng であることが kỳ されていたにもかかわらず, クライアント, サーバのいずれにおいてもTLSやSPDYに đối する tu chính しか hành われず, HTTPに đối する tu chính は hành われなかった.

BREACH công kích[Biên tập]

2013 niên に, HTTPでのデータ áp súc をターゲットとしたBREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext,Anh ngữ bản) と hô ばれるCRIME công kích の変 pháp が báo cáo された. BREACH công kích では, ログイントークン, メールアドレスなどの cá nhân tình báo をわずか30 miểu で thủ đắc khả năng であり, bất chính なリンクを phóng れさせたり, chính đương なウェブページに bất chính なコンテンツを挿 nhập することも khả năng であった^[254].Sử dụng するアルゴリズム, Cipher Suiteを vấn わず, すべてのバージョンのTLS/SSLに đối してBREACH công kích は thích dụng khả năng である^[255].TLSでのデータ áp súc やSPDYでのヘッダ áp súc を vô hiệu とすることで dung dịch に hồi tị khả năng であったCRIMEとは dị なり, BREACHを hồi tị するためにはHTTPでのデータ áp súc を vô hiệu にする tất yếu があるが, thông tín tốc độ の hướng thượng のためにほぼすべてのサーバがHTTPデータ áp súc を hữu hiệu としている hiện trạng では, これを vô hiệu hóa することは hiện thật đích ではない^[254].

その tha[Biên tập]

Tái ネゴシエーション thúy nhược tính[Biên tập]

2009 niên 11 nguyệt 4 nhật, SSL 3.0 dĩ hàng の tái ネゴシエーション cơ năng を lợi dụng して, クライアントからのリクエストの tiên đầu にTrung gian giảが nhậm ý のデータを挿 nhập できるという thúy nhược tính が báo cáo された^[256][257].プロトコル tự thể の thúy nhược tính であり, すべての thật trang が ảnh hưởng を thụ ける.

この thúy nhược tính への giản 単な đối sách は, サーバにおいて tái ネゴシエーションを cấm chỉ することである. Căn bổn đối ứng としては, TLS Extensionを sử った an toàn な tái ネゴシエーション thủ thuận がRFC5746として đề án されている. この thúy nhược tính を lợi dụng した trung gian giả công kích では, サーバがRFC5746に đối ứng しない hạn りクライアントは tái ネゴシエーションが phát sinh したことを kiểm xuất できないので, クライアント trắc のみで đối ứng することは bất khả năng である.

Thiết り cật め công kích[Biên tập]

TLSでの thiết り cật め công kích では, ユーザがウェブサービスからログアウトすることを phương hại し, ý đồ せずログインしたままとすることが khả năng である. ユーザからログアウト yếu cầu が tống tín されたときに, công kích giả が ngụy のTCPFINメッセージ ( これ dĩ thượng データを tống tín しない ) を bình văn で挿 nhập する. このメッセージを thụ けたサーバでは, ユーザから tống られたログアウト yếu cầu を thụ け thủ らないため, ユーザの ý đồ とは dị なりログイン trạng thái が duy trì される^[258].

2013 niên の báo cáo^[259]では, この công kích への đối ứng として,GmailやHotmailなどのウェブサービスでは, ログアウトが chính thường に hoàn liễu した chỉ のページを biểu kỳ するようになった. これにより, ログアウトしたか phủ かをユーザが xác nhận することが khả năng となり, công kích giả によってログイン trạng thái のアカウントを ác dụng される nguy 険 tính が khinh giảm される.

この công kích では mục tiêu のコンピュータにマルウェアなどを đạo nhập する tất yếu はないが, công kích giả が mục tiêu とサーバの gian の hồi tuyến に cát り込むことが khả năng であること^[258]と, mục tiêu のコンピュータに vật lý đích にアクセス khả năng であることが cầu められる.

Thật trang thượng の thúy nhược tính をついたもの[Biên tập]

ハートブリード[Biên tập]

ハートブリード (Anh:Heartbleed) は, 2014 niên に phát 覚したOpenSSLライブラリのバージョン1.0.1から1.0.1fの gian で phát kiến された thâm khắc なセキュリティ thúy nhược tính である. この thúy nhược tính を lợi dụng することで, TLS/SSLによって bảo hộ されているはずの tình báo を đạo むことが khả năng である.

このバグでは, インターネット thượng の thùy もが, thúy nhược tính のあるOpenSSLを lợi dụng しているシステムのメモリにアクセスすることが khả năng となり, サービスプロバイダの nhận chứng やデータの ám hào hóa に dụng いられている bí mật kiện, ユーザのアカウントおよびパスワード, thật tế にやり thủ りされたデータなどを thủ đắc できる. これにより, メッセンジャーサービス, điện tử メールの đạo thính, データの đạo nan, なりすましなどが khả năng となる.

ウェブサイトの thống kế[Biên tập]

Trustworthy Internet Movementは, TLS/SSLに đối する công kích に đối して thúy nhược なウェブサイトの thống kế を phát biểu している. 2019 niên 8 nguyệt における thống kế は dĩ hạ の thông りである^[42].

TLS/SSLに đối する công kích に thúy nhược なウェブサイトの thống kế ( quát hồ nội は tiền nguyệt との soa )

Công kích	セキュリティ
	An toàn ではない	Trạng huống による	An toàn	その tha
Tái ネゴシエーション thúy nhược tính	0.3% An toàn ではない tái ネゴシエーションに đối ứng	0.1% Lạng phương に đối ứng	98.4% An toàn な tái ネゴシエーションに đối ứng	1.1% Tái ネゴシエーション phi đối ứng
RC4 công kích	1.2% Tối tân のブラウザで lợi dụng khả năng なRC4 Suiteをサポート	12.1% RC4 Suiteのいくつかをサポート	86.7% RC4によるCipher Suite phi サポート	N/A
CRIME công kích	0.6% Thúy nhược	N/A	N/A	N/A
ハートブリード	<0.1% Thúy nhược	N/A	N/A	N/A
CCS Injection Vulnerability	0.2% Thúy nhược かつ ác dụng khả năng	1.2% Thúy nhược だが ác dụng bất khả năng	96.9% Thúy nhược ではない	1.7% Bất minh
TLSへのPOODLE công kích SSL 3.0へのPOODLE công kích は hàm まない	0.3% Thúy nhược かつ ác dụng khả năng	N/A	99.5% Thúy nhược ではない	0.2% Bất minh
プロトコルダウングレード	11.3% TLS_FALLBACK_SCSV phi サポート	N/A	71.6% TLS_FALLBACK_SCSVサポート	17.0% Bất minh

Tham khảo văn hiến[Biên tập]

• Eric Rescorla『マスタリングTCP/IP SSL/TLS biên 』 tề đằng hiếu đạo ・ quỷ đầu lợi chi ・ cổ sâm trinh giam 訳 ( đệ 1 bản đệ 1 xoát ), オーム xã, 2003 niên 11 nguyệt 28 nhật.ISBN4-274-06542-1.

Cước chú[Biên tập]

Quan liên hạng mục[Biên tập]

• HTTPS
• Datagram Transport Layer Security
• FTPS
• SSH
• GnuTLS
• Network Security Services
• OpenSSL
• フィッシング
• Extended Validation chứng minh thư(EV SSL)
• Nhận chứng cục
• SSLオフロード

Ngoại bộ リンク[Biên tập]

この tiết の ngoại bộ リンクはウィキペディアの phương châm やガイドラインに vi phản しているおそれがあります.Quá độ または bất thích thiết な ngoại bộ リンクを chỉnh lý し,Hữu dụng なリンクを cước chú で tham chiếu するよう ký sự の cải thiện にご hiệp lực ください.

Tiêu chuẩn hóa[Biên tập]

• 2018 niên 9 nguyệt thời điểm での tối tân bản
  • RFC8446:"The Transport Layer Security (TLS) Protocol Version 1.3".
• Quá khứ の bản
  • RFC2246:"The TLS Protocol Version 1.0".
  • RFC4346:"The Transport Layer Security (TLS) Protocol Version 1.1".
  • RFC5246:"The Transport Layer Security (TLS) Protocol Version 1.2".
  • RFC8996:"Deprecating TLS 1.0 and TLS 1.1"
• SSLは tiêu chuẩn hóa されていない
  • Hickman, Kipp E.B. (1995 niên 4 nguyệt ). “The SSL Protocol”.2013 niên 7 nguyệt 31 nhậtDuyệt lãm.This Internet Draft defines the now completely broken SSL 2.0.
  • RFC6101:"The Secure Sockets Layer (SSL) Protocol Version 3.0".
• TLS 1.0の拡 trương
  • RFC2595:"Using TLS with IMAP, POP3 and ACAP". Specifies an extension to the IMAP, POP3 and ACAP services that allow the server and client to use transport-layer security to provide private, authenticated communication over the Internet.
  • RFC2712:"Addition ofKerberosCipher Suites to Transport Layer Security (TLS) ". The 40-bit cipher suites defined in this memo appear only for the purpose of documenting the fact that those cipher suite codes have already been assigned.
  • RFC2817:"Upgrading to TLS Within HTTP/1.1", explains how to use theUpgrade mechanism in HTTP/1.1to initiate Transport Layer Security (TLS) over an existing TCP connection. This allows unsecured and secured HTTP traffic to share the samewell knownport (in this case, http: at 80 rather than https: at 443).
  • RFC2818:"HTTP Over TLS", distinguishes secured traffic from insecure traffic by the use of a different 'server port'.
  • RFC3207:"SMTP Service Extension for Secure SMTP over Transport Layer Security". Specifies an extension to the SMTP service that allows an SMTP server and client to use transport-layer security to provide private, authenticated communication over the Internet.
  • RFC3268:"AES Ciphersuites for TLS". AddsAdvanced Encryption Standard(AES) cipher suites to the previously existing symmetric ciphers.
  • RFC3546:"Transport Layer Security (TLS) Extensions", adds a mechanism for negotiating protocol extensions during session initialisation and defines some extensions. Made obsolete byRFC4366.
  • RFC3749:"Transport Layer Security Protocol Compression Methods", specifies the framework for compression methods and theDEFLATEcompression method.
  • RFC3943:"Transport Layer Security (TLS) Protocol Compression Using Lempel-Ziv-Stac (LZS)".
  • RFC4132:"Addition ofCamelliaCipher Suites to Transport Layer Security (TLS) ".
  • RFC4162:"Addition ofSEEDCipher Suites to Transport Layer Security (TLS) ".
  • RFC4217:"SecuringFTP with TLS".
  • RFC4279:"Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)", adds three sets of new cipher suites for the TLS protocol to support authentication based on pre-shared keys.
• TLS 1.1の拡 trương
  • RFC4347:"Datagram Transport Layer Security"specifies a TLS variant that works over datagram protocols (such as UDP).
  • RFC4366:"Transport Layer Security (TLS) Extensions" describes both a set of specific extensions and a generic extension mechanism.
  • RFC4492:"Elliptic Curve Cryptography(ECC) Cipher Suites for Transport Layer Security (TLS) ".
  • RFC4680:"TLS Handshake Message for Supplemental Data".
  • RFC4681:"TLS User Mapping Extension".
  • RFC4785:"Pre-Shared Key (PSK) Ciphersuites with NULL Encryption for Transport Layer Security (TLS)".
  • RFC5054:"Using theSecure Remote Password(SRP) Protocol for TLS Authentication ". Defines theTLS-SRPciphersuites.
  • RFC5077:"Transport Layer Security (TLS) Session Resumption without Server-Side State".
  • RFC5081:"UsingOpenPGPKeys for Transport Layer Security (TLS) Authentication ", obsoleted byRFC6091.
• TLS 1.2の拡 trương
  • RFC5288:"AESGalois Counter Mode(GCM) Cipher Suites for TLS ".
  • RFC5469:"DES and IDEA Cipher Suites for Transport Layer Security (TLS)"
  • RFC5289:"TLS Elliptic Curve Cipher Suites with SHA-256/384 and AES Galois Counter Mode (GCM)".
  • RFC5487:"Pre-Shared Key Cipher Suites for TLS with SHA-256/384 and AES Galois Counter Mode"
  • RFC5489:"ECDHE_PSK Cipher Suites for Transport Layer Security (TLS)"
  • RFC5746:"Transport Layer Security (TLS) Renegotiation Indication Extension".
  • RFC5878:"Transport Layer Security (TLS) Authorization Extensions".
  • RFC5932:"Camellia Cipher Suites for TLS"
  • RFC6042:"Transport Layer Security (TLS) Authorization Using KeyNote".
  • RFC6066:"Transport Layer Security (TLS) Extensions: Extension Definitions", includesServer Name IndicationandOCSPstapling.
  • RFC6091:"UsingOpenPGPKeys for Transport Layer Security (TLS) Authentication ".
  • RFC6176:"Prohibiting Secure Sockets Layer (SSL) Version 2.0".
  • RFC6209:"Addition of theARIACipher Suites to Transport Layer Security (TLS) ".
  • RFC6347:"Datagram Transport Layer Security Version 1.2".
  • RFC6358:"Additional Master Secret Inputs for TLS"
  • RFC6367:"Addition of the Camellia Cipher Suites to Transport Layer Security (TLS)".
  • RFC6460:"Suite B Profile for Transport Layer Security (TLS)".
  • RFC6655:"AES-CCMCipher Suites for Transport Layer Security (TLS) ".
  • RFC6961:"The Transport Layer Security (TLS) Multiple Certificate Status Request Extension"
  • RFC7027:"Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS)".
  • RFC7250:"Using Raw Public Keys in Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)"
  • RFC7251:"AES-CCM Elliptic Curve Cryptography (ECC) Cipher Suites for TLS".
  • RFC7301:"Transport Layer Security (TLS) Application-Layer Protocol Negotiation Extension".
  • RFC7366:"Encrypt-then-MACfor Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) ".
  • RFC7465:"Prohibiting RC4 Cipher Suites".
  • RFC7507:"TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks".
  • RFC7568:"Deprecating Secure Sockets Layer Version 3.0".
  • RFC7627:"Transport Layer Security (TLS) Session Hash and Extended Master Secret Extension".
  • RFC7685:"A Transport Layer Security (TLS) ClientHello Padding Extension".
  • RFC7905:"ChaCha20-Poly1305 Cipher Suites for Transport Layer Security (TLS)".
  • RFC7918:"Transport Layer Security (TLS) False Start"
  • RFC7919:"Negotiated Finite Field Diffie-Hellman Ephemeral Parameters for Transport Layer Security (TLS)".
  • RFC7924:"Transport Layer Security (TLS) Cached Information Extension"
  • RFC7925:"Transport Layer Security (TLS) / Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things"
  • RFC8442:"ECDHE_PSK with AES-GCM and AES-CCM Cipher Suites for TLS 1.2 and DTLS 1.2"
  • RFC8422:"Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlier"
  • RFC8701:"Applying Generate Random Extensions And Sustain Extensibility (GREASE) to TLS Extensibility"
  • RFC8492:"Secure Password Ciphersuites for Transport Layer Security (TLS)"
• TLS 1.3の拡 trương
  • RFC8449:"Record Size Limit Extension for TLS"
  • RFC8672:"TLS Server Identity Pinning with Tickets"
  • RFC8734:"Elliptic Curve Cryptography (ECC) Brainpool Curves for Transport Layer Security (TLS) Version 1.3"
  • RFC8879:"TLS Certificate Compression"
  • RFC8902:"TLS Authentication Using Intelligent Transport System (ITS) Certificates"
  • RFC8998:"ShangMi (SM) Cipher Suites for TLS 1.3"
• TLSを hàm むカプセル hóa
  • RFC5216:"TheEAP-TLS Authentication Protocol "
  • RFC8472:"Transport Layer Security (TLS) Extension for Token Binding Protocol Negotiation"
• X.509 (PKIX)との quan hệ tính
  • RFC6125:"Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)"
  • RFC7633:"X.509v3 Transport Layer Security (TLS) Feature Extension"
• その tha
  • RFC5705:"Keying Material Exporters for Transport Layer Security (TLS)"
  • RFC7457:"Summarizing Known Attacks on Transport Layer Security (TLS) and Datagram TLS (DTLS)"
  • RFC7525:"Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)"
  • RFC8447:"IANA Registry Updates for TLS and DTLS"
  • RFC8448:"Example Handshake Traces for TLS 1.3"
  • RFC8744:"Issues and Requirements for Server Name Identification (SNI) Encryption in TLS"

IANA[Biên tập]

• Transport Layer Security (TLS) Parameters
• Transport Layer Security (TLS) Extensions