Transport Layer Security
 |
| TCP/IP群 |
|---|
| アプリケーション層 |
|
| トランスポート層 |
| カテゴリ |
| インターネット層 |
| カテゴリ |
| リンク層 |
| カテゴリ |
| インターネットセキュリティ プロトコル |
|---|
| キーマネジメント |
| アプリケーション層 |
| DNS |
| インターネット層 |
Transport Layer Security(トランスポート・レイヤー・セキュリティ、TLS)は、インターネットなどのコンピュータネットワークにおいてセキュリティを要求される通信を行うためのプロトコルである。主な機能として、通信相手の認証、通信内容の暗号化、改竄の検出を提供する。TLSは非営利組織IETFによって策定された。
当プロトコルは(特に区別する場合を除いて)SSL (Secure Sockets Layer) と呼ばれることも多い。これは、TLSの元になったプロトコルがSSLであり[1]、そのSSLという名称が広く普及していることによる[2]。SSLはNetscapeが設計・開発した[3]。当初のSSLを元にして、以後、SSL 2(1994年)、SSL 3(1995年)がそれぞれ前バージョンの欠陥や脆弱性を修正するものとして公開された。SSLを拡張して、TLS(1999年)、TLS 1.2(2008年)、TLS 1.3(2018年)が作られた[3]。
2022年現在の最新版はTLS 1.3である。
概要[編集]
TLSは多くの場合、コネクション型のトランスポート層プロトコル(通常はTCP)とアプリケーション層の間で使われる。特にHTTPでの利用を意識して設計されているが、アプリケーション層の特定のプロトコルには依存せず、様々なアプリケーションにおいて使われている。TLS 1.1以降を元にしたプロトコルが、UDPやDCCPといったデータグラム型プロトコル上でも実装されており、こちらはDatagram Transport Layer Security (DTLS) として独立して標準化されている。
TLSはHTTPなどのアプリケーション層のプロトコルと組み合わせることで、HTTPSなどセキュアな通信プロトコルを実現している。そのようなプロトコルとして以下のものがある。
| SSLと組み合わせたプロトコル | ポート番号 | 元のプロトコル | ポート番号 |
|---|---|---|---|
| HTTPS | 443 | HTTP | 80 |
| SMTPS | 465 | SMTP | 25 |
| LDAPS | 636 | LDAP | 389 |
| FTPS (data) | 989 | FTP (data) | 20 |
| FTPS (control) | 990 | FTP (control) | 21 |
| IMAPS | 993 | IMAP | 143 |
| POP3S | 995 | POP3 | 110 |
アプリケーション層プロトコルへの適用[編集]
TLSは特定のアプリケーション層プロトコルに依存しないため、HTTP以外にも多くのプロトコルにおいて採用され、クレジットカード情報や個人情報、その他の機密情報を通信する際の手段として活用されている。
既存のアプリケーション層プロトコルでTLSを利用する場合、大きく2つの適用方式が考えられる。まずひとつは、下位層(通常はTCP)の接続を確立したらすぐにTLSのネゴシエーションを開始し、TLS接続が確立してからアプリケーション層プロトコルの通信を開始する方式である。もうひとつは、まず既存のアプリケーション層プロトコルで通信を開始し、その中でTLSへの切り替えを指示する方式である。切り替えコマンドとしてSTARTTLSが広まっているため、この方式自体をSTARTTLSと呼ぶこともある。
前者はアプリケーション層のプロトコルをまったく変更しなくてすむことが利点である。その反面、平文で接続を開始する実装と共存できなくなるため、既存のポート番号とは別にTLS対応用のポート番号が必要となる。実態としては、SSL/TLSの最初の適用例であるHTTPSをはじめとして、前者の方式を使うことが多い。ただし、この方式はバーチャルホストを構成する際に問題となる可能性がある。詳細は#バーチャルホストの節を参照。
なお、ポート番号を分ける方式をSSL、同一ポート番号で切替える方式(STARTTLS方式)をTLSと呼んでいる実装もある[4]。TLS/SSLという用語の区別がプロトコルのバージョンを指しているか、アプリケーション層プロトコルへの適用方式を指しているかは、文脈で判断する必要がある。
セキュリティ上の考察[編集]
TLS適用の有無と使用アルゴリズムの強度[編集]
TLSを導入さえすればセキュリティが確保できるという認識は誤っている。TLS通信は、平文での通信に比べて(主に暗号化・復号時)余分な計算機能力を使用するため、本当に必要なとき以外は使用しないことが多い。システムはデータの重要性を判断することができないので、TLSが必要なときに正しく使われているかどうかは、利用者自身が判断しなければならない。
World Wide Webでは、ハイパーリンクによるページ遷移を繰り返して処理を行うため、どの通信で TLS (HTTPS) が使用されているか把握することが重要になる。多くのウェブブラウザは、画面のどこかに南京錠のアイコンを表示したり、アドレスバーの色を変化させたりして、利用者に情報を提供していた。一方 Google は南京錠のアイコンが適切ではなくなったとして、Chrome での南京錠の表示を廃止した[5]。背景として、HTTPS が普及したこと、南京錠アイコンの意味を正しく理解している人が少ない[6]ことを挙げている。さらに、Chrome では HTTPS を使っていない通信を行う前に警告画面を出すようにした[7]。
また実際に使用するアルゴリズムは双方のネゴシエーションによって決まるため、TLSを使用していても、システムとして許容はするが推奨できないアルゴリズムが採用される可能性がある。このような場合もダイアログメッセージなどを使って利用者に警告すべきである。
証明書の正当性[編集]
TLSは公開鍵証明書を用いて認証を行い、なりすましを極力排除しようとする。しかしシステムの自動的な対応には限界があり、すべてのなりすましを検出できるわけではない。
公開鍵証明書には認証局による電子署名が与えられる。その署名の正当性を評価するためには認証局の証明書が必要であり、最終的にはルート証明書と呼ばれる一群の証明書に行きつく。各システムは、認証局の証明書として信用できるルート証明書を、あらかじめ保持している。認証局は自身の秘密鍵を厳重に秘匿し、また証明書の発行にあたっては正当なサーバ管理者かどうか確認することが求められる。これらが保証されない認証局のルート証明書を組み込むことは、TLSにおける認証機能を破綻させることになる。仮に認証局自体は安全でも、入手したルート証明書が本当に意図する認証局のものかどうか判断することは難しいという点も注意すべきである。
TLSで認証を行うためには、認証局の署名に加えて、証明書の発行先を確認する必要がある。確認しない場合、サーバAの管理権限を持たない者がサーバBとして正当な証明書を取得し、その証明書を使ってサーバAを名乗ることができてしまう。TLS用のサーバ証明書には発行先サーバのホスト名が書き込まれており、クライアントは自分が接続しようとしているサーバのホスト名と一致するかどうか確認することができる。
現実には「正当な」サーバであっても、これらの検証において「問題がある」と判断される証明書を使って運用されているサーバが少なからず存在する。セキュリティ研究者の高木浩光は、このような証明書のことを、オレオレ詐欺をもじって「オレオレ証明書」と呼んで批判している[8]。
この検証は、システムに指示された接続先のホスト名と実際に接続した先のホスト名が一致することを検証しているのであり、利用者が意図する接続先とは必ずしも一致しないことに注意する必要がある。
例として、利用者が意図する接続先であるサーバAがホスト名www.example.comでサービスを提供しており、攻撃者はサーバBおよびホスト名www.example.orgを取得している場合を考える。仮に攻撃者がDNS偽装に成功して、www.example.comへの接続をサーバBに導くことができたとしても、www.example.comのサーバ証明書を入手できないので、TLS接続を提供することはできない。しかし攻撃者も、www.example.orgのサーバ証明書を入手することはできる。したがって、サーバAに接続しようとしている利用者を、www.example.comではなくwww.example.orgへ接続させることができれば、クライアントからは正当な証明書を持ったサーバとしか見えない。
上記のような例も考慮した上で、利用者が意図している接続先かどうかを判断するためには、以下の2つの条件を満たす必要がある。
- 利用者は意図する接続先の正しいホスト名を知っている。
- 利用者は、現在システムに指示されている接続先が、自分の知っている正しいホスト名と一致していることを確認できる。
2は、情報処理推進機構 (IPA) が公開している「安全なウェブサイトの作り方」[9]という文書の「フィッシング詐欺を助長しないための対策」に対応する。
乱数の品質[編集]
他の多くの近代暗号と同様に、TLSもまた、暗号としての強度は乱数の品質に依存している。桁数(ビット長)の大きな暗号は推測が難しいという前提が暗号強度の根拠となっている(これは、公開鍵暗号システムにも言える)。もし何らかの理由で乱数の出現確率が大きく偏るようなことがあれば、総当たり攻撃で解読される可能性が上昇する。通常は、これは実装の問題に起因している。
古い例では、Netscapeの初期の実装における乱数生成の脆弱性がある。プロセスIDや時刻から乱数を生成していることが判明し、これらの情報を取得できる場合には総当たり攻撃の所要時間が大幅に短くなるという問題があった[10]。
2008年5月15日にはDebianが脆弱性に関する報告[11]を発表した。OpenSSLライブラリのパッケージメンテナンスの際に誤ったパッチを導入した結果、鍵生成に適切な乱数が使われず僅か65536 (= 216) 通りの予測可能な物が生成されてしまった事を明らかにした[12](なお、この問題はOpenSSLそのものの脆弱性ではない)。この影響を受けるのはDebian sargeより後のバージョンのDebianと、それから派生したDamn Small Linux、KNOPPIX、Linspire、Progeny Debian、sidux、Ubuntu、UserLinux、Xandrosである。脆弱性のあるバージョンのOpenSSLは2006年9月17日に公開された。安定バージョンがリリースされた2007年4月8日以降は確実に影響を受ける。脆弱性のあるバージョンのOpenSSLで作られた鍵全て、SSH鍵、OpenVPN鍵、DNSSEC鍵、X.509証明書を生成するのに使われる鍵データ、およびSSL/TLSコネクションに使うセッション鍵等が影響を受ける。これらの鍵は65536通り全てを総当たり攻撃で試すだけでいずれの鍵が使われているか解読可能であり(SSHでは20分間で解読できたと報告されている)、また脆弱な鍵がインストールされたDebianを含む全てのオペレーティングシステムにおいて緊急の対応が必要であると専門家が注意を呼びかけている。生成された鍵に問題があるため、Debian GNU/Linuxで生成した鍵をMicrosoft Windowsのような非UNIXシステムに導入しているような場合も、この脆弱性の影響を受ける。具体的対応については、Debianの報告の他、JPCERT/CCの勧告[13]等に従うべきである。
プロトコル概要[編集]
本説ではTLS 1.2の概要を説明する。
TLSには主なプロトコルとして暗号通信に必要な鍵 (master secret) を鍵共有してセッションを確立するTLSハンドシェイクプロトコルと、master secretを用いて暗号通信することで確立されたセッションにおけるコネクションをセキュアにするTLSレコードプロトコルがある。
その他に用いている暗号方式やハッシュ関数等のアルゴリズムを変更する Change Cipher Spec プロトコルと通信相手からの通信終了要求や何らかのエラーを通知する アラートプロトコルがある。
TLSハンドシェイクプロトコル[編集]
TLSハンドシェイクプロトコルは4つのフェーズに大別できる。
| (第一フェーズ) |
| ||||||||||||||||||||||||||||||||||||||||||
| ─ClientHello───→ | ||||||||||||||||||||||||||||||||||||||||||||
| ←ServerHello──── | ||||||||||||||||||||||||||||||||||||||||||||
| (第二フェーズ) | ||||||||||||||||||||||||||||||||||||||||||||
| ←Certificate──── | ||||||||||||||||||||||||||||||||||||||||||||
| ←ServerKeyExchange─ | ||||||||||||||||||||||||||||||||||||||||||||
| ←CertificateRequest── | ||||||||||||||||||||||||||||||||||||||||||||
| ←ServerHelloDone── | ||||||||||||||||||||||||||||||||||||||||||||
| (第三フェーズ) | ||||||||||||||||||||||||||||||||||||||||||||
| ─Certificate───→ | ||||||||||||||||||||||||||||||||||||||||||||
| ─ClientKeyExchange→ | ||||||||||||||||||||||||||||||||||||||||||||
| ─CertificateVerify─→ | ||||||||||||||||||||||||||||||||||||||||||||
| (第四フェーズ) | ||||||||||||||||||||||||||||||||||||||||||||
| ─Change Cipher Spec→ | ||||||||||||||||||||||||||||||||||||||||||||
| ─Finished─────→ | ||||||||||||||||||||||||||||||||||||||||||||
| ←Change Cipher Spec─ | ||||||||||||||||||||||||||||||||||||||||||||
| ←Finished────── |
第一フェーズ[編集]
第一のフェーズではサーバ・クライアント間で通信に必要情報の合意を図る。このフェーズでは、まずクライアントからサーバにClientHelloが送信され、次にサーバからクライアントにServerHelloが送信される[14]。
ClientHelloはTLSのバージョン、乱数、セッションID、通信に用いる暗号方式やハッシュアルゴリズムのリスト (cipher_suites)、通信内容の圧縮方法、および拡張領域の6つからなる[14]。乱数は鍵共有におけるリプレイ攻撃を防ぐためのものである。
ServerHelloもClientHelloと同様の6つからなっている(名称は一部異なる)[14]。ServerHelloの主な目的は、ClientHelloで提示された選択肢の中でサーバにとって好ましいものを選択する事で、例えばClientHelloで提示されたcipher_suitesの中から、サーバが通信に使いたいcipher_suiteを一組選ぶ[14]。乱数はClientHelloとは独立して選ぶ[14]。これもリプレイ攻撃を回避するためである。セッションIDは特に問題がなければClientHelloと同一のものを返す。
第二フェーズ[編集]
第二フェーズではサーバからクライアントに対して鍵共有に必要な情報を送る。具体的にはサーバはCertificate、ServerKeyExchange、CertificateRequest、ServerHelloDoneを(第一フェーズServerHelloに引き続き)クライアントに送信する[14]。
Certificateは鍵共有で用いる公開鍵とその証明書で別途取り決めがない限りX.509v3のフォーマットに従う[14]。なお鍵共有方式としてDH_anonを用いている場合にはcertificateは必要ない[14]。
ServerKeyExchangeは鍵共有プロトコルに依存して送るデータが異なるが、DH_anonであれば、gx mod pという形のデータを送る。ここでxはサーバの秘密の乱数である。鍵共有プロトコルがDHE_DSS、DHE_RSA、DH_anonでは何らかのserver_key_exchangeを送るが、RSA、DH_DSS、DH_RSAでは何も送らない[14]。
CertificateRequestはクライアントの公開鍵とその証明書を送ることを要求するためのもので、サーバが許容できる証明書の種別、ハッシュと署名方式、および認証局のリストからなっている[14]。
そして最後にサーバ側からのメッセージ送信が終わった事を示すServerHelloDoneをクライアントに送る。
第三フェーズ[編集]
第三フェーズではクライアントからサーバに対して鍵共有に必要な情報を送る。具体的にはクライアントはCertificate、ClientKeyExchange、CertificateVerifyをサーバに送る[15]。
Certificateは鍵共有で用いるクライアントの公開鍵とその証明書である。証明書はサーバから送られてきたCertificateRequestの条件を満たさねばならない。
ClientKeyExchangeは鍵共有プロトコルに依存して送るデータが異なるが、DH_anonであれば、gy mod pという形のデータを送る。ここでyはクライアントの秘密の乱数である。
ここまでのプロトコルにより、サーバとクライアントの間でpremaster secretが共有された事になる。DH_anonであればpremaster secretはgxy mod pである。premaster secretを鍵にした擬似ランダム関数にServerHelloとClientHelloの乱数などを並べたものを入力した結果得られたものがmaster secretである[15]。
CertificateVerifyはクライアントが署名能力を持っていることを証明するためにこれまでTLSハンドシェイクプロトコルで送受信された全メッセージに対し、共有されたmaster secret で署名したものである[要検証][14]。
第四フェーズ[編集]
クライアントは必要ならChange Cipher Spec プロトコルのメッセージをサーバに送り、終了を意味するFinishedをサーバに送る。同様にサーバも必要ならChange Cipher Spec プロトコルのメッセージをクライアントに送り、終了を意味するFinishedをクライアントに送る[14]。
TLSレコードプロトコル[編集]
TLSレコードプロトコルはアプリケーション層から受け取った通信内容を214バイト以下のブロックに分解 (fragmentation) し、各ブロックを圧縮 (compress) し、圧縮されたブロックを認証暗号で暗号化するレコード Payload 防護を施した上で、通信内容を通信相手に送信する[16]。
認証暗号は、TLS 1.1まではMACをつけた後で共通鍵暗号化するMAC-then-Encrypt (MtE) のみが利用可能であった。TLS 1.2からは、AES-GCMのようなAEADに分類される認証暗号専用の暗号利用モードも利用可能になり[16]、TLS 1.3ではAEADのみが利用可能となっている。
認証暗号にブロック暗号(AEAD以外)を選択した場合、TLS 1.1以降においてIVはTLSレコードプロトコルの送信者がランダムに選ぶ[16]。ランダムなIVは、BEAST攻撃への対策として有効である。一方、認証暗号で用いる共通鍵はTLSハンドシェイクプロトコルで共有されたmaster secretを用いる。
バージョン[編集]
コンピュータの計算能力の向上とともに、認証の突破、暗号の解読、改竄も以前よりは容易に行えるようになり、セキュリティ確保のための技術も厳しさを増している。
2017年現在では、TLS 1.2 以上のバージョンの実装が推奨され、TLS 1.1 以下のサポートを停止するサイトも出てきている[17][18][19]。2021年3月にはRFC 8996により、TLS 1.0〜TLS 1.1の使用禁止が求められている。
| Defined | |
|---|---|
| バージョン | 年 |
| SSL 1.0 | n/a |
| SSL 2.0 | 1995 |
| SSL 3.0 | 1996 |
| TLS 1.0 | 1999 |
| TLS 1.1 | 2006 |
| TLS 1.2 | 2008 |
| TLS 1.3 | 2018 |
SSL 1.0[編集]
ネットスケープコミュニケーションズ社がSSLの最初のバージョンとして設計していたが、設計レビューの段階でプロトコル自体に大きな脆弱性が発見され、破棄された。このため、2018年現在ではSSL 1.0を実装した製品はない。
SSL 2.0[編集]
ネットスケープコミュニケーションズ社はSSL 1.0の問題を修正して再設計し、1994年にSSL 2.0として発表した。また、同社のウェブブラウザであるNetscape Navigator 1.1においてSSL 2.0を実装した。
その後、SSL 2.0にもいくつかの脆弱性が発見され、SSL 3.0において修正された。SSL 2.0の脆弱性のひとつは、ネゴシエーションの情報を改竄すると、提示する選択肢のうち最弱のアルゴリズムを使わせることができ(ダウングレード攻撃)、改竄を受けたことを検出できないというものである。さらに悪いことに、この脆弱性を利用すると、双方がSSL 3.0をサポートしていてもSSL 2.0で接続させることさえ可能になる。
SSL 3.0ではSSL 2.0との互換性を提供するにあたり、乱数領域を使った細工を加えることで、このような攻撃を検出する仕組みを組み込んだ。しかしこの細工が無効にされているサーバ環境も存在し、クライアントから見るとSSL 2.0を無効にしない限りこの脆弱性の影響を受ける可能性を否定できない[20]。SSL 3.0以降に対応した実装が十分に普及したものとして、Internet Explorer 7やMozilla Firefox 2、Opera 9などは、初期状態でSSL 2.0を無効にしている[21][22][23]。この決定を受け、SSL 2.0しか対応していなかったサーバでも、SSL 3.0以降へ対応する動きが広まっている[24]。
SSL 2.0にはチェーン証明書がなく、ルートCAから発行したSSLサーバ証明書しか使うことができない。
2011年3月、RFC 6176 によってSSL 2.0の使用は禁止された。
SSL 3.0[編集]
ネットスケープコミュニケーションズ社はSSL 2.0の問題を修正するとともに機能追加を行い、1995年にSSL 3.0を発表した。また、Netscape Navigator 2.0においてSSL 3.0を実装した。SSL 3.0の仕様書については、2011年にIETFから歴史的文書という扱いでRFC 6101として公開された。
2014年10月にSSL 3.0の仕様上の脆弱性(POODLE攻撃)が発見されたため、SSL 3.0への対応を打ち切り、TLS 1.0以降のみ対応への移行が望まれている。2015年6月、RFC 7568 によってSSL 3.0の使用は禁止された。
SSLについては、使うべきではない。
TLS 1.0[編集]
IETFのTLSワーキンググループはRFC 2246としてTLS 1.0を公表した。TLS 1.0の標準化作業は1996年に開始され、年内に完了する予定だったが、いくつかの問題に阻まれ、公表は1999年まで遅延した。
TLS 1.0が提供する機能はSSL 3.0とあまり変わらないが、アルゴリズムやルートCAの自己署名証明書の取扱いなどの仕様の詳細が変更されたことに加え、これまであまり実装されていなかった選択肢のいくつかが必須と定められた。このため、TLS 1.0を実装した製品が普及するまでには、さらに数年を要した。
2021年3月、RFC 8996によりTLS 1.0を使用しないことが呼びかけられている。
なおTLS 1.0はSSL 3.0より新しい規格であることを示すため、ネゴシエーションにおけるバージョン番号は3.1となっている。
TLS 1.1[編集]
2006年にRFC 4346としてTLS 1.1が制定された。TLS 1.0からの変更点は、新しく発見された攻撃手法に対する耐性の強化が中心である。特にCBC攻撃に対する耐性を上げるため、初期化ベクトルを明示的に指定することにし、さらにパディングの処理も改善された。また、予期せぬ回線クローズ後に、セッションを再開できるようになった。共通鍵暗号アルゴリズムとしてAESが選択肢に加わった[25]。
2021年3月、RFC 8996によりTLS 1.1を使用しないことが呼びかけられている。
ネゴシエーションにおけるバージョン番号は3.2となっている。
TLS 1.2[編集]
2008年8月にRFC 5246としてTLS 1.2が制定された。ハッシュのアルゴリズムにSHA-256が追加されたほか、ブロック暗号について、従来のCBCモードだけではなく、GCM、CCMといった認証付き暗号を用いたcipher suiteが利用可能となった。また、AESに関する記述がRFC 5246自体に含まれるようになった。
ネゴシエーションにおけるバージョン番号は3.3となっている。
TLS 1.3[編集]
新たなTLSのバージョンとしてTLS 1.3が提案されてきたが[26]、IETFは2018年3月23日に、ドラフト28を標準規格として承認し[27][28]、同年8月10日にRFC 8446として公開した[29]。
TLS 1.2からの変更点としては、データ圧縮の非サポート、forward secrecyではないcipher suite(RSAのみを用いたもの)および認証付き暗号ではないcipher suite(CBCモードのブロック暗号やRC4を用いたもの)の廃止が挙げられる。なお名称をTLS 2.0やTLS 4等に変更することが検討されたが、最終的にTLS 1.3に落ち着いた。
暗号スイート[編集]
TLSではハンドシェイクプロトコルのClientHello・ServerHelloで、以後の通信で用いる暗号スイート (ciphersuite) を決定する。TLS 1.2を策定しているRFC 5246では、暗号スイートを以下のフォーマットで表現している:
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
これは次の意味である。
- 鍵共有方式として以下のものを用いる:
- EDH(Ephemeral Diffie-Hellman、後述)の通信に
- DSS署名したもの
- 認証暗号として平文にMACをつけた後に共通鍵暗号化する(いわゆるMAC-then-Encrypt (MtE) 型)のもので
TLS1.2では認証暗号としてMtE型のもののみならず、AES-GCMのような認証暗号専用に作られた暗号利用モードも用いる事ができるようになった。この場合MACはそもそも必要ない。
なお、RSA暗号とRSA署名を組み合わせる事で実現した鍵共有方式に対してはTLS_RSA_RSA_WITH…のようにRSAを2回書かず、TLS_RSA_WITH_…のように略記する。
鍵共有、共通鍵暗号、ハッシュ関数の全ての組み合わせが網羅されているわけではないので、同時に利用できない組み合わせも存在する。
鍵共有[編集]
SSL/TLS(の1つ以上のバージョンで)使用できる鍵共有方式は以下のとおりである。ここでDHはDiffie-Hellmanの事である。なおDH-ANON、ECDH-ANONは中間者攻撃に対して脆弱であることから安全とはみなされていない。
- DH-ANON (Anonymous DH)、ECDH-ANON (Anonymous ECDH) はそれぞれ、送信データに署名する事なくDH鍵共有、ECDH鍵共有を行う方式である。
- DHE-***はEphemeral DHと呼ばれるもので、鍵共有の際クライアント、サーバがx、yをランダムに選び、gx、gyを計算し、これらに署名文をつけた上で交換しあう方式である。gx、gyにつける署名文を作成する署名方式は「***」の部分に記載されたものを使う。ECDHE-***はDHEの楕円DH版である。
- DH-***はFixed DHもしくはnon-interactive DHと呼ばれるもので、Diffie-Hellmanで用いるパラメータ(クライアントのgx、サーバのgy)がクライアントやサーバの公開鍵として認証局から公開鍵証明書を受け取っているケースのDiffie-Hellman鍵共有である。gx、gyに対する公開鍵証明書内の署名文を作成する署名方式は「***」の部分に記載されたものを使う。ECDH-*** (Fixed ECDH) はFixed DHの楕円DH版である。
- RSA-***はランダムに選んだ共有鍵をサーバの公開鍵でRSA暗号化し、暗号文を「***」で指定された署名方式で署名したものをClientKeyExchangeにおいてクライアントがサーバに送る方式である。(ServerKeyExchangeでは何も送らない)。
いずれの鍵共有においても共有された鍵 (premaster secret) を用いた擬似ランダム関数にクライアントが選んだ乱数とサーバが選んだ乱数等を並べたものを入力する事で最終的なmaster secretを得る。これによりリプレイ攻撃を防いでいる。
これらの鍵共有方式の対応状況は以下のとおりである:
| アルゴリズム | SSL 2.0 | SSL 3.0 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | 状況 |
|---|---|---|---|---|---|---|---|
| RSA | 対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | TLS 1.2向けにRFCで定義済み |
| DH-RSA | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | |
| DHE-RSA (forward secrecy) | 非対応 | 対応 | 対応 | 対応 | 対応 | 対応 | |
| ECDH-RSA | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | |
| ECDHE-RSA (forward secrecy) | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | |
| DH-DSS | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | |
| DHE-DSS (forward secrecy) | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応[30] | |
| ECDH-ECDSA | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | |
| ECDHE-ECDSA (forward secrecy) | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | |
| PSK | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| PSK-RSA | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| DHE-PSK (forward secrecy) | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | |
| ECDHE-PSK (forward secrecy) | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | |
| SRP | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| SRP-DSS | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| SRP-RSA | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| KRB5 | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| DH-ANON(安全ではない) | 非対応 | 対応 | 対応 | 対応 | 対応 | ||
| ECDH-ANON(安全ではない) | 非対応 | 非対応 | 対応 | 対応 | 対応 | ||
| GOST R 34.10-94 / 34.10-2001[31] | 非対応 | 非対応 | 対応 | 対応 | 対応 | RFC草稿で提案中 |
事前共有鍵を用いた TLS_PSK、Secure Remote Password protocolを用いた TLS_SRP、ケルベロス認証を用いた KRB5 も存在する。
独立国家共同体のGOST規格によって規定された鍵共有アルゴリズムであるGOST R 34.10も提案されている(同じGOST規格による暗号化・改竄検出アリゴリズムとの組み合わせに限定)[31]。
認証暗号[編集]
共通鍵暗号[編集]
認証暗号に用いる共通鍵暗号として以下のものがある。
| 暗号化 | プロトコルバージョン | 状況 | |||||||
|---|---|---|---|---|---|---|---|---|---|
| 種類 | アルゴリズム | 暗号強度 (bit) | SSL 2.0 | SSL 3.0 [注 1][注 2][注 3][注 4] | TLS 1.0 [注 1][注 3] | TLS 1.1 [注 1] | TLS 1.2 [注 1] | TLS 1.3 | |
| ブロック暗号 (暗号利用モード) | AES GCM[32][注 5] | 256, 128 | N/A | N/A | N/A | N/A | 安全 | 安全 | TLS 1.2向けにRFCで定義済み |
| AES CCM[33][注 5] | N/A | N/A | N/A | N/A | 安全 | 安全 | |||
| AES CBC[注 6] | N/A | N/A | 実装による | 安全 | 安全 | N/A | |||
| Camellia GCM[34][注 5] | 256, 128 | N/A | N/A | N/A | N/A | 安全 | N/A | ||
| Camellia CBC[35][注 6] | N/A | N/A | 実装による | 安全 | 安全 | N/A | |||
| ARIA GCM[36][注 5] | 256, 128 | N/A | N/A | N/A | N/A | 安全 | N/A | ||
| ARIA CBC[36][注 6] | N/A | N/A | 実装による | 安全 | 安全 | N/A | |||
| SEED CBC[37][注 6] | 128 | N/A | N/A | 実装による | 安全 | 安全 | N/A | ||
| 3DES EDE CBC[注 6] | 112[注 7] | 安全ではない | 安全ではない | 強度不足、実装による | 強度不足 | 強度不足 | N/A | ||
| GOST 28147-89 CNT[31] | 256 | N/A | N/A | 安全 | 安全 | 安全 | N/A | RFC草稿で提案中 | |
| IDEA CBC[注 6][注 8] | 128 | 安全ではない | 安全ではない | 実装による | 安全 | N/A | N/A | TLS 1.2で廃止 | |
| DES CBC[注 6][注 8] | 56 | 安全ではない | 安全ではない | 安全ではない | 安全ではない | N/A | N/A | ||
| 40[注 9] | 安全ではない | 安全ではない | 安全ではない | N/A | N/A | N/A | TLS 1.1以降で利用禁止 | ||
| RC2 CBC[注 6] | 40[注 9] | 安全ではない | 安全ではない | 安全ではない | N/A | N/A | N/A | ||
| ストリーム暗号 | ChaCha20+Poly1305[40][注 5] | 256 | N/A | N/A | N/A | N/A | 安全 | 安全 | TLS 1.2向けにRFCで定義済み |
| RC4[注 10] | 128 | 安全ではない | 安全ではない | 安全ではない | 安全ではない | 安全ではない | N/A | 全バージョンにおいて利用禁止 | |
| 40[注 9] | 安全ではない | 安全ではない | 安全ではない | N/A | N/A | N/A | |||
| 暗号化なし | Null[注 11] | - | N/A | 安全ではない | 安全ではない | 安全ではない | 安全ではない | N/A | TLS 1.2向けにRFCで定義済み |
- ^ a b c d 再ネゴシエーション脆弱性への対応のため、RFC 5746 への対応が必要
- ^ RFC 5746 への対応はSSL 3.0の仕様を逸脱するが、ほとんどの実装では対応したうえで仕様からの逸脱にも対処している
- ^ a b SSL 3.0およびTLS 1.0はBEAST攻撃に対して脆弱であり、クライアント側、サーバ側での対応が必要。#ウェブブラウザ節を参照
- ^ SSL 3.0はPOODLE攻撃に対して脆弱であり、クライアント側、サーバ側での対応が必要。#ウェブブラウザ節を参照
- ^ a b c d e GCM、CCMなどのAEAD(認証付き暗号モード)は、TLS 1.2以降のみで利用可能
- ^ a b c d e f g h CBCモードは、サイドチャネル攻撃への対処が不十分な実装ではLucky Thirteen攻撃に対して脆弱である
- ^ 3DESの鍵長は168ビットであるが実質的な暗号強度は112ビットであり[38]、2013年時点で最低限必要とされる128ビットに不足している[39]
- ^ a b IDEA、DESはTLS 1.2で廃止された
- ^ a b c 40ビットのセキュリティ強度を持つCipher Suiteは、アメリカ合衆国による高強度暗号アルゴリズムの輸出規制を回避するために設計された。これらはTLS 1.1以降では利用が禁止されている。
- ^ RFC 7465 により、すべてのバージョンのTLSにおいてRC4の利用は禁止された(RC4攻撃)
- ^ 認証のみで暗号化は行われない。
AES CBCはTLS 1.0を定義する RFC 2246 には含まれていないが、RFC 3268 で追加された。TLS 1.1を定義する RFC 4346 からは RFC 3268 が参照されており、さらにTLS 1.2では定義である RFC 5246 にAES CBCに関する記述が取り込まれた。また、認証付き暗号によるAES GCM (RFC 5288, RFC 5289)、AES CCM (RFC 6655, RFC 7251) が追加されている。IDEA CBC、DES CBCはTLS 1.2で廃止された(RFC 5469 に解説がある)。
ブロック暗号のCBCモードでの利用については、TLS 1.0以前においてBEAST攻撃と呼ばれる攻撃が可能であることが明らかとなっており、クライアント側、サーバ側での対応が必要とされている。TLS 1.1以降ではこの攻撃への根本的な対処として初期化ベクトルを明示的に指定し、パディングの処理が改善された。ブロック暗号であってもGCM、CCMなどの認証付き暗号を用いる場合にはこれらの攻撃を受けない。
ストリーム暗号であるRC4は前述のBEAST攻撃を受けることはないが、RC4には仕様上の脆弱性が存在する(RC4攻撃)。2015年2月、TLSのすべてのバージョンにおいてRC4の利用を禁止する RFC 7465 が公開された。ストリーム暗号であるChaCha20と認証のためのPoly1305を組み合わせたChaCha20+Poly1305が RFC 7905 として標準化されている。
いくつかの国家標準に基づく暗号化アルゴリズムもTLSで利用可能であり、日本のCRYPTRECによる推奨暗号であるCamellia(CBCモード:RFC 4132、RFC 5932、RFC 6367、GCM:RFC 6367)、韓国の情報通信標準規格に採用されているSEED(CBCモード:RFC 4162)、ARIA(CBCモードおよびGCM:RFC 6209)が追加されている。また、独立国家共同体のGOST規格によって規定された暗号化アルゴリズムであるGOST 28147-89も提案されている[31]。
SSLが設計された当時は、アメリカ合衆国によって高強度暗号アルゴリズムの輸出が規制されていた。そのため、全世界で共通して利用できるアルゴリズムとして、DES・RC2・RC4に関して暗号強度を40ビットに制限したものが導入されていた。これらはTLS 1.1以降では利用が禁止されている。
また、鍵共有のみを行い暗号化は行わないこと (NULL) も可能であるが、平文でのやりとりとなることから安全とはみなされていない。
MAC[編集]
TLS/SSLの各バージョンで使用できるMACの選択肢は以下のとおりである。下欄の「AEAD」(Authenticated Encryption with Associated Data、認証暗号)は、共通鍵暗号として認証暗号を選んでいるのでMACを用いない事を意味する。
| アルゴリズム | SSL 2.0 | SSL 3.0 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | 状況 |
|---|---|---|---|---|---|---|---|
| HMAC-MD5 | 対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | TLS 1.2向けにRFCで定義済み |
| HMAC-SHA1 | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | |
| HMAC-SHA256/384 | 非対応 | 非対応 | 非対応 | 非対応 | 対応 | 非対応 | |
| AEAD | 非対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | |
| GOST 28147-89 IMIT[31] | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | RFC草稿で提案中 |
| GOST R 34.11-94[31] | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 |
独立国家共同体のGOST規格によって規定されたアルゴリズムであるGOST 28147-89に基づくMACおよび、GOST R 34.11も提案されている(同じGOST規格による鍵共有・暗号化アリゴリズムとの組み合わせに限定)[31]。
実装[編集]
ウェブサイト[編集]
| プロトコル | ウェブサイトにおけるサポート[41] | セキュリティ[41][42] |
|---|---|---|
| SSL 2.0 | 0.2% | 安全ではない |
| SSL 3.0 | 1.7% | 安全ではない[43] |
| TLS 1.0 | 29.5% | 暗号アルゴリズム[注 1]および脆弱性への対処[注 2]による |
| TLS 1.1 | 31.8% | 暗号アルゴリズム[注 1]および脆弱性への対処[注 2]による |
| TLS 1.2 | 99.9% | 暗号アルゴリズム[注 1]および脆弱性への対処[注 2]による |
| TLS 1.3 | 66.2% | 安全 |
- 注
ウェブブラウザ[編集]
2021年1月現在、主要なウェブブラウザの最新版ではTLS 1.2、1.3が既定で有効であるが、過去のバージョンのOS向けなどサポートが継続しているウェブブラウザのいくつかのバージョンではそうではない。
- TLS 1.3に対応しているが既定で無効:Internet Explorer 11(Windows 10 バージョン1903以降)
- TLS 1.3に未対応:Internet Explorer 11(Windows 10 バージョン1903より前)
TLS 1.0、1.1は脆弱性が危惧され[44]、2020年から無効化が実施され始めている[45]。
既知の脆弱性のいくつかへの対応は十分ではない。
- POODLE攻撃への対応:いくつかのブラウザではTLS_FALLBACK_SCSVを実装済みでSSL 3.0へのフォールバックを抑止することが可能となっているが、これはクライアント側だけでなくサーバ側での対応も必要である。SSL 3.0そのものの無効化、"anti-POODLE record splitting"の実装、あるいはSSL 3.0におけるCBCモードのcipher suiteの無効化が根本的な対策となる。
- Google Chrome:完了(バージョン33においてTLS_FALLBACK_SCSVを実装、バージョン39においてSSL 3.0へのフォールバックを無効化、バージョン40においてSSL 3.0を既定で無効化。バージョン44においてSSL 3.0のサポートを廃止)
- Mozilla Firefox:完了(バージョン34においてSSL 3.0を既定で無効化およびSSL 3.0へのフォールバックを無効化、バージョン35においてTLS_FALLBACK_SCSVを実装。延長サポート版でもESR 31.3においてSSL 3.0を無効化およびTLS_FALLBACK_SCSVを実装。バージョン39においてSSL 3.0のサポートを廃止)
- Internet Explorer:部分的(バージョン11のみ、2015年2月のアップデートにおいて保護モードにおけるSSL 3.0へのフォールバックを既定で無効化。2015年4月にSSL 3.0自体を既定で無効化。バージョン10以前では対策は講じられていない)
- Opera:完了(バージョン20においてTLS_FALLBACK_SCSVを実装、バージョン25において"anti-POODLE record splitting"を実装、バージョン27においてSSL 3.0を既定で無効化。バージョン31においてSSL 3.0のサポートを廃止)
- Safari:完了(OS X v10.8以降およびiOS 8.1以降のみ、POODLEへの対策としてSSL 3.0においてCBCモードのcipher suiteを無効化した。これによりPOODLEの影響を受けることはなくなるが、SSL 3.0においてCBCモードを無効化したことで、脆弱性が指摘されているRC4しか利用できなくなるという問題が生じている。OS X v10.11およびiOS 9においてSSL 3.0のサポートを廃止)
- RC4攻撃への対応
- Google Chromeでは、バージョン43以降はホストがRC4以外のアルゴリズムを用いたCipher Suiteに対応していない場合に限りRC4を用いたCipher Suiteがフォールバックとして利用されるようになった。バージョン48以降では、RC4を用いたCipher Suiteのすべてが既定で無効化された。
- Firefoxでは、バージョン36以降はホストがRC4以外のアルゴリズムを用いたCipher Suiteに対応していない場合に限りRC4を用いたCipher Suiteがフォールバックとして利用されるようになった。バージョン44以降では、RC4を用いたCipher Suiteのすべてが既定で無効化された。
- Operaでは、バージョン30以降はホストがRC4以外のアルゴリズムを用いたCipher Suiteに対応していない場合に限りRC4を用いたCipher Suiteがフォールバックとして利用されるようになった。バージョン35以降では、RC4を用いたCipher Suiteのすべてが既定で無効化された。
- Windows 7 / Server 2008 R2およびWindows 8 / Server 2012向けのInternet Explorerでは、RC4の優先度を最低としている。Windows 8.1 / Server 2012 R2向けのInternet Explorer 11およびWindows Phone 8.1向けのInternet Explorer Mobile 11およびWindows 10向けのEdgeでは、ホストが他のアルゴリズムに非対応の場合のフォールバックを除きRC4を無効としている(Windows 7 / Server 2008 R2およびWindows 8 / Server 2012向けのInternet Explorerでもレジストリからフォールバックを除きRC4を無効化することが可能)。2016年8月の月例アップデートにおいて、Inter Explorer 11およびEdgeにおいてRC4を用いたCipher Suiteのすべてが既定で無効化。
- FREAK攻撃への対応:
| ウェブブラウザ | バージョン | プラットフォーム | SSLプロトコル | TLSプロトコル | 証明書のサポート | 脆弱性への対応[注 1] | プロトコル選択[注 2] | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV[注 3][46] | SHA-2[47] | ECDSA[48] | BEAST [注 4] | CRIME [注 5] | POODLE (SSLv3) [注 6] | RC4 [注 7] | FREAK [49][50] | Logjam | |||||
| Google Chrome (Chrome for Android) [注 8] [注 9] | 1–9 | Windows (7以降) macOS (OS X v10.10以降) Linux Android (4.4以降) iOS (10.0以降) ChromeOS | 既定で無効 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし[55] | 脆弱 (HTTPS) | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 可[注 10] | |
| 10–20 | 非対応[56] | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 脆弱 (HTTPS/SPDY) | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 可[注 10] | |||
| 21 | 非対応 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済[57] | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 可[注 10] | |||
| 22–25 | 非対応 | 既定で有効 | 対応 | 対応[58] | 非対応[58][59][60][61] | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 26–29 | 非対応 | 既定で有効 | 対応 | 対応 | 非対応 | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 30–32 | 非対応 | 既定で有効 | 対応 | 対応 | 対応[59][60][61] | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 33–37 | 非対応 | 既定で有効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 部分的に対策済[注 12] | 優先度最低[64][65][66] | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 38, 39 | 非対応 | 既定で有効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 部分的に対策済 | 優先度最低 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 40 | 非対応 | 既定で無効[63][67] | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済[注 13] | 優先度最低 | 脆弱 (Windows版を除く) | 脆弱 | 可[注 14] | |||
| 41, 42 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済 | 優先度最低 | 対策済 | 脆弱 | 可[注 14] | |||
| 43 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済 | フォールバックの場合のみ[注 15][68] | 対策済 | 脆弱 | 可[注 14] | |||
| 44–47 | 非対応 | 非対応[69] | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 影響なし | フォールバックの場合のみ[注 15] | 対策済 | 対策済[70] | 一時的[注 11] | |||
| 48, 49 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 50–53 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 54–66 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 既定で無効 (ドラフト版) | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 67–69 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 (ドラフト版) | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 70–79 | 80 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | ||
| Android ブラウザ[73] | Android 1.0, 1.1, 1.5, 1.6, 2.0–2.1, 2.2–2.2.3 | 非対応 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 不明 | 非対応 | 非対応 | 不明 | 不明 | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| Android 2.3–2.3.7, 3.0–3.2.6, 4.0–4.0.4 | 非対応 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 不明 | 対応[47] | Android 3.0以降[74] | 不明 | 不明 | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | |||
| Android 4.1–4.3.1, 4.4–4.4.4 | 非対応 | 既定で有効 | 対応 | 既定で無効[75] | 既定で無効[75] | 非対応 | 不明 | 対応 | 対応[48] | 不明 | 不明 | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | |||
| Android 5.0-5.0.2 | 非対応 | 既定で有効 | 対応 | 対応[75][76] | 対応[75][76] | 非対応 | 不明 | 対応 | 対応 | 不明 | 不明 | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | |||
| Android 5.1-5.1.1 | 非対応 | 不明 | 対応 | 対応 | 対応 | 非対応 | 不明 | 対応 | 対応 | 不明 | 不明 | 影響なし | フォールバックの場合のみ[注 15] | 対策済 | 対策済 | 不可 | |||
| Android 6.0-7.1.2 | 非対応 | 不明 | 対応 | 対応 | 対応 | 非対応 | 不明 | 対応 | 対応 | 不明 | 不明 | 影響なし | 既定で無効 | 対策済 | 対策済 | 不可 | |||
| Android 8.0-9.0 | 非対応 | 非対応[77] | 対応 | 対応 | 対応 | 非対応 | 不明 | 対応 | 対応 | 不明 | 不明 | 影響なし | 既定で無効 | 対策済 | 対策済 | 不可 | |||
| Android 10.0 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | 不明 | 対応 | 対応 | 不明 | 不明 | 影響なし | 既定で無効 | 対策済 | 対策済 | 不可 | |||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV証明書 | SHA-2証明書 | ECDSA証明書 | BEAST | CRIME | POODLE (SSLv3) | RC4 | FREAK | Logjam | プロトコル選択 | |
| Mozilla Firefox (Firefox for Mobile) [注 17] | 1.0 | Windows (7以降) macOS (OS X v10.9以降) Linux Android (4.1以降) iOS (10.3以降) ESR: Windows (7以降) macOS (OS X v10.9以降) Linux | 既定で有効[78] | 既定で有効[78] | 対応[78] | 非対応 | 非対応 | 非対応 | 非対応 | 対応[47] | 非対応 | 影響なし[79] | 影響なし | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |
| 1.5 | 既定で有効 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 対応 | 非対応 | 影響なし | 影響なし | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |||
| 2 | 既定で無効[78][80] | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応[48] | 影響なし | 影響なし | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |||
| 3–7 | 既定で無効 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 影響なし | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |||
| 8–10 ESR 10 | 非対応[80] | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 影響なし | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |||
| 11–14 | 非対応 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 脆弱 (SPDY)[57] | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |||
| 15–22 ESR 17.0–17.0.10 | 非対応 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 10] | |||
| ESR 17.0.11 | 非対応 | 既定で有効 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 脆弱 | 優先度最低[81][82] | 影響なし | 脆弱 | 可[注 10] | |||
| 23 | 非対応 | 既定で有効 | 対応 | 既定で無効[83] | 非対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 18] | |||
| 24, 25.0.0 ESR 24.0–24.1.0 | 非対応 | 既定で有効 | 対応 | 既定で無効 | 既定で無効[85] | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 脆弱 | 脆弱 | 影響なし | 脆弱 | 可[注 18] | |||
| 25.0.1, 26 ESR 24.1.1–24.8.1 | 非対応 | 既定で有効 | 対応 | 既定で無効 | 既定で無効 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 脆弱 | 優先度最低[81][82] | 影響なし | 脆弱 | 可[注 18] | |||
| 27–33 ESR 31.0–31.2 | 非対応 | 既定で有効 | 対応 | 対応[86][87] | 対応[88][87] | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 脆弱 | 優先度最低 | 影響なし | 脆弱 | 可[注 18] | |||
| 34, 35 ESR 31.3–31.7 | 非対応 | 既定で無効[89][90] | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 対策済[注 19] | 優先度最低 | 影響なし | 脆弱 | 可[注 18] | |||
| ESR 31.8 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 対策済 | 優先度最低 | 影響なし | 対策済[93] | 可[注 18] | |||
| 36–38 ESR 38.0 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 対策済 | フォールバックの場合のみ[注 15][94] | 影響なし | 脆弱 | 可[注 18] | |||
| ESR 38.1–38.8 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 対策済 | フォールバックの場合のみ[注 15] | 影響なし | 対策済[93] | 可[注 18] | |||
| 39–43 | 非対応 | 非対応[95] | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 影響なし | フォールバックの場合のみ[注 15] | 影響なし | 対策済[93] | 可[注 18] | |||
| 44–48 ESR 45.0 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][96][97][98][99] | 影響なし | 対策済 | 可[注 18] | |||
| 49–59 ESR 52 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 既定で無効 (実験的)[100] | 対応 | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16]/ | 影響なし | 対策済 | 可[注 18] | |||
| 60–62 ESR 60 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応(ドラフト版) | 対応 | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16]/ | 影響なし | 対策済 | 可[注 18] | |||
| 63–73 ESR 68.0–68.5 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16]/ | 影響なし | 対策済 | 可[注 18] | |||
| ESR 68.6 | |||||||||||||||||||
| 74 | 非対応 | 非対応 | 既定で無効 | 既定で無効 | 対応 | 対応 | 対応 | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16]/ | 影響なし | 対策済 | 可[注 18] | |||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV証明書 | SHA-2証明書 | ECDSA証明書 | BEAST | CRIME | POODLE (SSLv3) | RC4 | FREAK | Logjam | プロトコル選択 | |
| Microsoft Internet Explorer [注 20] | 1 | Windows 3.1, 95, NT[注 21],[注 22] System 7, Mac OS | TLS/SSL非対応 | ||||||||||||||||
| 2 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | SSLv3/TLSv1非対応 | 脆弱 | 脆弱 | 脆弱 | 不明 | |||||
| 3 | 対応 | 対応[103] | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | N/A | |||
| 4, 5 | Windows 3.1, 95, 98, NT[注 21],[注 22] System 7, Mac OS, Mac OS X Solaris HP-UX | 既定で有効 | 既定で有効 | 既定で無効[103] | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 可[注 10] | ||
| 6 | Windows 98, ME Windows NT[注 21], 2000[注 22] | 既定で有効 | 既定で有効 | 既定で無効[103] | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 可[注 10] | ||
| 6 | Windows XP[注 22] | 既定で有効 | 既定で有効 | 既定で無効 | 非対応 | 非対応 | 非対応 | 非対応 | 対応[注 23][104] | 非対応 | 対策済 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 可[注 10] | ||
| 6 | Server 2003[注 22] | 既定で有効 | 既定で有効 | 既定で無効 | 非対応 | 非対応 | 非対応 | 非対応 | 対応[注 23][104] | 非対応 | 対策済 | 影響なし | 脆弱 | 脆弱 | 対策済[107] | 対策済[108] | 可[注 10] | ||
| 7, 8 | Windows XP[注 22] | 既定で無効[109] | 既定で有効 | 対応[109] | 非対応 | 非対応 | 非対応 | 対応 | 対応[注 23][104] | 非対応 | 対策済 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 可[注 10] | ||
| 7, 8 | Server 2003[注 22] | 既定で無効[109] | 既定で有効 | 対応[109] | 非対応 | 非対応 | 非対応 | 対応 | 対応[注 23][104] | 非対応 | 対策済 | 影響なし | 脆弱 | 脆弱 | 対策済[107] | 対策済[108] | 可[注 10] | ||
| 7, 8, 9[110] | Windows Vista | 既定で無効[109] | 既定で有効 | 対応[109] | 非対応 | 非対応 | 非対応 | 対応 | 対応[注 23][104] | 対応[48] | 対策済 | 影響なし | 脆弱 | 脆弱 | 対策済[107] | 対策済[108] | 可[注 10] | ||
| Server 2008 | |||||||||||||||||||
| 8, 9, 10 | Windows 7 | 既定で無効 | 既定で有効 | 対応 | 既定で無効[111] | 既定で無効[111] | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 脆弱 | 優先度最低[112][注 24] | 対策済[107] | 対策済[108] | 可[注 10] | ||
| Server 2008 R2 | |||||||||||||||||||
| 10 | Windows 8 | 既定で無効 | 既定で有効 | 対応 | 既定で無効[111] | 既定で無効[111] | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 脆弱 | 優先度最低[112][注 24] | 対策済[107] | 対策済[108] | 可[注 10] | ||
| 10 | Server 2012 | ||||||||||||||||||
| 11 | Windows 7 | 既定で無効 | 既定で無効[注 25] | 対応 | 対応[114] | 対応[114] | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済[注 25] | 優先度最低[112][注 24] | 対策済[107] | 対策済[108] | 可[注 10] | ||
| Server 2008 R2 | |||||||||||||||||||
| 11 | Windows 8.1 | 既定で無効 | 既定で無効[注 25] | 対応 | 対応[114] | 対応[114] | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済[注 25] | 既定で無効[注 16][118][119]}} | 対策済[107] | 対策済[108] | 可[注 10] | ||
| Server 2012 R2 | |||||||||||||||||||
| 11 | Windows 10 | 既定で無効 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | ||
| Server 2016 | |||||||||||||||||||
| Microsoft Edge[注 26] およびInternet Explorer (フォールバックとして) [注 20] | IE 11 | 12–13[注 27] | Windows 10 v1507–v1511 | 既定で無効 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] |
| Windows 10 LTSB 2015 (v1507) | |||||||||||||||||||
| 11 | 14–18 | Windows 10 v1607–v1803 | 非対応[121] | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | |
| 11 | 18 | Windows 10 v1809 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | |
| 11 | 18 | Windows 10 v1903 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | |
| 11 | Windows 10 LTSB 2016 (v1607) | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | ||
| 11 | Windows Server 2016 v1607 (LTSB) | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | ||
| 11 | Windows Server 2019 v1809 (LTSC) | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | ||
| 11 | 18 | Windows 10 v1909 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 既定で無効 (実験的) | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 可[注 10] | |
| Microsoft Internet Explorer Mobile [注 20] | 7, 9 | Windows Phone 7, 7.5, 7.8 | 既定で無効[109] | 既定で有効 | 対応 | 非対応 [要出典] | 非対応 [要出典] | 非対応 | 非対応 [要出典] | 対応 | 対応[74] | 不明 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 要サードパーティ製ツール[注 28] | |
| 10 | Windows Phone 8 | 既定で無効 | 既定で有効 | 対応 | 既定で無効[123] | 既定で無効[123] | 非対応 | 非対応 [要出典] | 対応 | 対応[124] | 対策済 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 要サードパーティ製ツール[注 28] | ||
| 11 | Windows Phone 8.1 | 既定で無効 | 既定で有効 | 対応 | 対応[125] | 対応[125] | 非対応 | 非対応 [要出典] | 対応 | 対応 | 対策済 | 影響なし | 脆弱 | フォールバックの場合のみ[注 15][118][119] | 脆弱 | 脆弱 | 要サードパーティー製ツール[注 28] | ||
| Microsoft Edge [注 20] | 13[注 26] | Windows 10 Mobile v1511 | 既定で無効 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 不可 | |
| 14, 15 | Windows 10 Mobile v1607–v1709 | 非対応[121] | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済 | 既定で無効[注 16] | 対策済 | 対策済 | 不可 | ||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV証明書 | SHA-2証明書 | ECDSA証明書 | BEAST | CRIME | POODLE (SSLv3) | RC4 | FREAK | Logjam | プロトコル選択 | |
| Opera (Opera Mobile) (Prestoおよびそれ以前) [注 29] | 1, 2 | TLS/SSL非対応[126] | |||||||||||||||||
| 3 | 対応[127] | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | SSLv3/TLSv1非対応 | 脆弱 | 不明 | 不明 | N/A | |||||
| 4 | 対応 | 対応[128] | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 不明 | |||
| 5 | 既定で有効 | 既定で有効 | 対応[129] | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 可[注 10] | |||
| 6, 7 | 既定で有効 | 既定で有効 | 対応[129] | 非対応 | 非対応 | 非対応 | 非対応 | 対応[47] | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 可[注 10] | |||
| 8 | 既定で有効 | 既定で有効 | 対応 | 既定で無効[130] | 非対応 | 非対応 | 非対応 | 対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 可[注 10] | |||
| 9 | 既定で無効[131] | 既定で有効 | 対応 | 対応 | 非対応 | 非対応 | v9.5より対応 (デスクトップ版) | 対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 可[注 10] | |||
| 10–11.52 | 非対応[132] | 既定で有効 | 対応 | 既定で無効 | 既定で無効[132] | 非対応 | 対応 (デスクトップ版) | 対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 可[注 10] | |||
| 11.60–11.64 | 非対応 | 既定で有効 | 対応 | 既定で無効 | 既定で無効 | 非対応 | 対応 (デスクトップ版) | 対応 | 非対応 | 対策済[133] | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 可[注 10] | |||
| 12–12.14 | 非対応 | 既定で無効[注 30] | 対応 | 既定で無効 | 既定で無効 | 非対応 | 対応 (デスクトップ版) | 対応 | 非対応 | 対策済 | 影響なし | 対策済[注 30] | 脆弱 | 不明 | 対策済[135] | 可[注 10] | |||
| 12.15–12.17 | 非対応 | 既定で無効 | 対応 | 既定で無効 | 既定で無効 | 非対応 | 対応 (デスクトップ版) | 対応 | 非対応 | 対策済 | 影響なし | 対策済 | 部分的に対策済[136][137] | 不明 | 対策済[135] | 可[注 10] | |||
| 12.18 | 非対応 | 既定で無効 | 対応 | 対応[138] | 対応[138] | 非対応 | 対応 (デスクトップ版) | 対応 | 対応[138] | 対策済 | 影響なし | 対策済 | 既定で無効[注 16][138] | 対策済[138] | 対策済[135] | 可[注 10] | |||
| Opera (Opera Mobile) (WebKit/Blink) [注 31] | 14–16 | Windows (7以降) macOS (Mac OS X v10.10以降) Linux Android (4.4以降) | 非対応 | 既定で有効 | 対応 | 対応[141] | 非対応[141] | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |
| 17–19 | 非対応 | 既定で有効 | 対応 | 対応[142] | 対応[142] | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 脆弱 | 脆弱 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 20–24 | 非対応 | 既定で有効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | OSがSHA-2対応の場合[47] | OSがECC対応の場合[48] | 影響なし | 対策済 | 部分的に対策済[注 32] | 優先度最低[143] | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 25, 26 | 非対応 | 既定で有効[注 33] | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済[注 34] | 優先度最低 | 脆弱 (Windows版を除く) | 脆弱 | 一時的[注 11] | |||
| 27 | 非対応 | 既定で無効[67] | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済[注 35] | 優先度最低 | 脆弱 (Windows版を除く) | 脆弱 | 可[注 36] (デスクトップ版) | |||
| 28, 29 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済 | 優先度最低 | 対策済 | 脆弱 | 可[注 36] (デスクトップ版) | |||
| 30 | 非対応 | 既定で無効 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 対策済 | フォールバックの場合のみ[注 15][68] | 対策済 | 対策済[135] | 可[注 36] (デスクトップ版) | |||
| 31–34 | 非対応 | 非対応[69] | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 影響なし | フォールバックの場合のみ[注 15][68] | 対策済 | 対策済 | 一時的[注 11] | |||
| 35, 36 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | OSがECC対応の場合[48] | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 37–40 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 41–56 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 既定で無効 (ドラフト版) | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | |||
| 57–66 | 67 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | 対応 (デスクトップ版) | 対応 | 対応 | 影響なし | 対策済 | 影響なし | 既定で無効[注 16][71][72] | 対策済 | 対策済 | 一時的[注 11] | ||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV証明書 | SHA-2証明書 | ECDSA証明書 | BEAST | CRIME | POODLE (SSLv3) | RC4 | FREAK | Logjam | プロトコル選択 | |
| Apple Safari [注 37] | 1 | Mac OS X v10.2, v10.3 | 非対応[145] | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | |
| 2–5 | Mac OS X v10.4, v10.5, | 非対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | v3.2以降 | 非対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| 3–5 | 非対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | v3.2以降 | 非対応 | 対応[74] | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | |||
| 4–6 | Mac OS X v10.6, v10.7 | 非対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応[47] | 対応[48] | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| 6 | OS X v10.8 | 非対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応[48] | 対策済[注 38] | 影響なし | 対策済[注 39] | 脆弱[注 39] | 対策済[151] | 脆弱 | 不可 | ||
| 7, 9 | OS X v10.9 | 非対応 | 対応 | 対応 | 対応[152] | 対応[152] | 非対応 | 対応 | 対応 | 対応 | 対策済[147] | 影響なし | 対策済[注 39] | 脆弱[注 39] | 対策済[151] | 脆弱 | 不可 | ||
| 8 | 9 | OS X v10.10 | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済[注 39] | 優先度最低[153][注 39] | 対策済[151] | 対策済[154] | 不可 | |
| 10 | |||||||||||||||||||
| 9-11 | OS X v10.11 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 優先度最低 | 対策済 | 対策済 | 不可 | ||
| 10-12 | macOS 10.12 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 不明 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 不明 | 対策済 | 対策済 | 不可 | ||
| 11, 12 | 13 | macOS 10.13 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 不明 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 不明 | 対策済 | 対策済 | 不可 | |
| 12 | 13 | macOS 10.14 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 (mac OS 10.14.4以降) | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 不明 | 対策済 | 対策済 | 不可 | |
| 13 | macOS 10.15 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 不明 | 対策済 | 対策済 | 不可 | ||
| Safari (モバイル) [注 40] | 3 | iPhone OS 1, 2 | 非対応[158] | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 不明 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | |
| 4, 5 | iPhone OS 3, iOS 4 | 非対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 対応[159] | 対応 | iOS 4以降[74] | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| 5, 6 | iOS 5, 6 | 非対応 | 対応 | 対応 | 対応[155] | 対応[155] | 非対応 | 対応 | 対応 | 対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| 7 | iOS 7 | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応[160] | 対策済[161] | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| 8 | iOS 8 | 非対応 | 対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 対策済[注 39] | 優先度最低[162][注 39] | 対策済[163] | 対策済[164] | 不可 | ||
| 9 | iOS 9 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 優先度最低 | 対策済 | 対策済 | 不可 | ||
| 10-11 | iOS 10, 11 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 不明 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 非対応 | 対策済 | 対策済 | 不可 | ||
| 12 | iOS 12 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 (iOS 12.2以降)[165] | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 非対応 | 対策済 | 対策済 | 不可 | ||
| 13 | iOS 13 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対応 | 対策済 | 影響なし | 影響なし | 非対応 | 対策済 | 対策済 | 不可 | ||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV証明書 | SHA-2証明書 | ECDSA証明書 | BEAST | CRIME | POODLE (SSLv3) | RC4 | FREAK | Logjam | プロトコル選択 | |
| ニンテンドーDSシリーズ (携帯ゲーム機) | ニンテンドーDSブラウザー[166] | DS | 対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 不明 | 不明 | 不明 | 不明 | 不明 | 不明 | 不明 | 不明 | 不可 | |
| ニンテンドーDSiブラウザー[167] | DSi | 非対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 脆弱 | 脆弱 | 不可 | ||
| ニンテンドー3DSシリーズ (携帯ゲーム機) | インターネットブラウザー[168] | 3DS | 非対応 | 非対応[169] | 対応 | 対応[170] | 対応[170] | 非対応 | 対応 | 対応 | 非対応 | 対策済 | 影響なし | 影響なし | 優先度最低 | 対策済 | 対策済 | 不可 | |
| インターネットブラウザー | New 3DS[171] | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 非対応 | 対策済 | 影響なし | 影響なし | 優先度最低 | 対策済 | 対策済 | 不可 | ||
| PSシリーズ (携帯ゲーム機) | [172] | PSP | 非対応 | 対応 | 非対応 | 非対応 | 非対応 | 非対応 | 非対応 | 対応 | 不明 | 不明 | 不明 | 不明 | 不明 | 不明 | 不明 | 不可 | |
| PS Vita | 非対応 | 非対応 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 対応 | 不明 | 影響なし | 影響なし | 優先度最低 | 対策済 | 脆弱 | 不可 | |||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV証明書 | SHA-2証明書 | ECDSA証明書 | BEAST | CRIME | POODLE (SSLv3) | RC4 | FREAK | Logjam | プロトコル選択 | |
| Wiiシリーズ (据置機) | インターネットチャンネル[173] | Wii | 対応 | 対応 | 対応 | 対応 | 非対応 | 非対応 | 非対応 | 対応 | 非対応 | 脆弱 | 影響なし | 脆弱 | 脆弱 | 不明 | 不明 | 不可 | |
| インターネットブラウザー[174] | Wii U | 非対応 | 非対応 | 対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 不明 | 不明 | 影響なし | 影響なし | 優先度最低 | 対策済 | 対策済 | 不可 | ||
| Nintendo Switchシリーズ (据置機) | 名称不明 | Nintendo Switch | 非対応 | 非対応 | 非対応 | 対応 | 対応 | 非対応 | 対応 | 対応 | 対応 | 影響なし | 影響なし | 影響なし | 非対応 | 対策済 | 対策済 | 不可 | |
| PSシリーズ (据置機) | [175] | PS3 | 非対応 | 非対応[169] | 対応[170] | 非対応 | 非対応 | 非対応 | 不明 | 対応 | 非対応 | 不明 | 影響なし | 影響なし | 脆弱 | 対策済 | 対策済 | 不可 | |
| PS4 | 非対応 | 非対応 | 対応 | 対応[170] | 対応[170] | 非対応 | 対応 | 対応 | 対応 | 不明 | 影響なし | 影響なし | 優先度最低 | 対策済 | 脆弱 | 不可 | |||
| ブラウザ | バージョン | プラットフォーム | SSL 2.0 (安全ではない) | SSL 3.0 (安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 | EV[注 3] | SHA-2 | ECDSA | BEAST [注 4] | CRIME [注 5] | POODLE (SSLv3) [注 6] | RC4 [注 7] | FREAK | Logjam | プロトコル選択 [注 2] | |
| SSLプロトコル | TLSプロトコル | 証明書のサポート | 脆弱性への対応[注 1] | ||||||||||||||||
| 色および注釈 | 状況 | |
|---|---|---|
| ブラウザ | プラットフォーム | |
| ブラウザバージョン | オペレーティングシステム | 開発版 |
| ブラウザバージョン | オペレーティングシステム | 現在の最新リリース |
| ブラウザバージョン | オペレーティングシステム | 過去のリリース:サポート継続 |
| ブラウザバージョン | オペレーティングシステム | 過去のリリース:サポート継続(残り期間12か月未満) |
| ブラウザバージョン | オペレーティングシステム | 過去のリリース:開発終了 |
| n/a | オペレーティングシステム | 混在 / 非特定 |
| オペレーティングシステム (XX以降) | そのブラウザの最新リリースがサポートするOSの最低バージョン | |
| そのブラウザによるサポートが完全に終了したOS | ||
- 注
- ^ a b 既知の脆弱性に対する対応がされているか否か。暗号アルゴリズムや暗号強度は考慮しない(#暗号化参照)。
- ^ a b ユーザあるいは管理者によって、使用するプロトコルを選択できるか否か。可能な場合、いくつかの攻撃を回避することができる(SSL 3.0およびTLS 1.0におけるBEASTや、SSL 3.0におけるPOODLEなど)。
- ^ a b 錠前アイコンやアドレスバーを緑色で表示するなど、EV SSLと通常のSSLを区別できるか否か。
- ^ a b 1/n-1 record splittingなど。
- ^ a b HTTPS/SPDYにおけるヘッダ圧縮の無効化。
- ^ a b
- 完全な対策としては、SSL 3.0そのものの無効化、"anti-POODLE record splitting"の実装。"anti-POODLE record splitting"はクライアント側のみの対応で有効でありSSL 3.0の仕様にも準拠しているが、サーバによっては互換性の問題が生じる可能性がある。
- 部分的な対策としては、クライアント側でのSSL 3.0へのフォールバックの無効化、TLS_FALLBACK_SCSVの実装、CBCモードによるCipher Suiteの無効化など。TLS_FALLBACK_SCSVはSSL 3.0へのフォールバックの抑止の一つであるがクライアント、サーバ双方での対応が必要であり、サーバ側がこれに非対応かつSSL 3.0対応の場合には効果がない。SSL 3.0においてCBCモードによるCipher Suiteを無効化した場合には、RC4を用いたCipher Suiteしか利用できなくなるためRC4攻撃に対する脆弱性が増大する。
- 手動でSSL 3.0を無効化した場合にはPOODLE攻撃を受けることはない。
- ^ a b
- 完全な対策としては、RC4を用いたCipher Suiteの無効化。
- 古い環境との互換性を維持した部分的な対策としては、RC4を用いたCipher Suiteの優先度の低下。
- ^ Google Chrome(およびChromium)はバージョン21でTLS 1.1に対応したもののいったん撤回され、バージョン22で再度有効となった。TLS 1.2についても、バージョン29で有効となったものが撤回され、バージョン30で再度有効となった[51][52][53]。
- ^ TLSの実装はAndroid版、macOS版およびWindows版ではBoringSSL[54]、およびLinux版ではNSSによる。NSSからBoringSSLへの完全移行が進行中である。
- ^ a b c d e f g h i j k l m n o p q r s t u v w x y z aa ab ac ad ae af ag ah ai aj ak al am an 設定あるいはオプション(ブラウザにより名称は異なる)より設定可能 (プロトコルバージョンごとに有効/無効を指定)
- ^ a b c d e f g h i j k l m n o p q r s t 起動オプションより設定可能 (最高および最低バージョンの指定による範囲指定)
- ^ TLS_FALLBACK_SCSVを実装[62]。バージョン39よりSSL 3.0へのフォールバック無効化を追加[63]。
- ^ TLS_FALLBACK_SCSVの実装、SSL 3.0へのフォールバック無効化に加え、バージョン40でSSL 3.0を既定で無効化[63]。
- ^ a b c chrome://flagsより設定可能 (最低バージョンの指定による範囲指定、最高バージョンは起動オプションより指定可能)[67]
- ^ a b c d e f g h i ホストがRC4以外のアルゴリズムを用いたCipher Suiteに対応していない場合に限り、RC4を用いたCipher Suiteがフォールバックとして利用される。
- ^ a b c d e f g h i j k l m n o p q r s t u v w x y z aa RC4を用いたCipher Suiteのすべてが既定で無効化される
- ^ TLSの実装はNSSによる。Firefox 22以前では、同梱のNSSがTLS 1.1に対応していたもののブラウザとしてはTLS 1.0まで対応。Firefox 23でTLS 1.1に、Firefox 24でTLS 1.2に対応したが既定では無効。Firefox 27よりTLS 1.1およびTLS 1.2が既定で有効。
- ^ a b c d e f g h i j k l m n about:configあるいはアドオン[84]より設定可能 (最高および最低バージョンの指定による範囲指定)
- ^ バージョン34.0、ESR 31.3でSSL 3.0を既定で無効化[89]。バージョン34.0ではSSL 3.0へのフォールバック無効化を追加[91]。ESR 31.3およびバージョン35ではTLS_FALLBACK_SCSVを実装[89][92]。
- ^ a b c d IEのTLSへの対応はWindowsに同梱のSChannelによる。IE 11においてTLS 1.1および1.2が既定で有効[101][102]。
- ^ a b c Windows NT 3.1: IE 1–2, Windows NT 3.5: IE 1–3, Windows NT 3.51および4.0: IE 1–6
- ^ a b c d e f g Windows XPおよび Server 2003以前のSChannelは3DESやRC4といった弱いアルゴリズムのみに対応[105]。これはIEだけではなく、Microsoft Officeなど、これらのOS上で動作する他のMicrosoft製品でも利用される。Server 2003のみ、KB 948963によってAESに対応する[106]。
- ^ a b c d e MS13-095あるいはMS14-049 (Server 2003およびXP 64ビット版)、SP3(XP 32ビット版)
- ^ a b c サーバがRC4以外のアルゴリズムを用いたCipher Suiteに対応していない場合に限り、RC4を用いたCipher Suiteがフォールバックとして利用されるようレジストリから変更することも可能[113]。
- ^ a b c d 「保護モード」においてSSL 3.0へのフォールバックを既定で無効化[115][116]。2015年4月にSSL 3.0そのものを無効化[117]。
- ^ a b レンダリングエンジンであるEdgeHTMLはInternet Explorer 11までのレンダリングエンジンであるTridentからフォークされた
- ^ Windows 10 LTSB 2015 (LongTermSupportBranch) を除く[120]
- ^ a b c レジストリより設定可能 (サードパーティによるツールが必要)[122]
- ^ Presto版では、Opera 10でTLS 1.2に対応(既定では無効)。
- ^ a b 2014年10月15日以降、SSL 3.0の既定での無効化をリモートで実施[134]。
- ^ Opera 14以降におけるTLSへの対応は、対応するChromiumバックエンドを利用するChromeと同じとなる。Android版Opera 14はChromium 26(レイアウトエンジンはWebKit)[139]、Opera 15以降はChromium 28以降(レイアウトエンジンはBlink)をベースとしている[140]。
- ^ TLS_FALLBACK_SCSVを実装[143]。
- ^ BEASTおよびPOODLEへの対策を実装済み[134]
- ^ TLS_FALLBACK_SCSVの実装に加え、"anti-POODLE record splitting"を実装[134]。
- ^ TLS_FALLBACK_SCSV、"anti-POODLE record splitting"の実装に加え、SSL 3.0を既定で無効化[67]。
- ^ a b c opera://flagsより設定可能 (最低バージョンの指定による範囲指定、最高バージョンは起動オプションより指定可能)[67]
- ^ SafariのTLSへの対応はOS同梱のライブラリによる[144]。
- ^ 2013年9月にBEASTへの対処が実装がされたが、既定では無効であった[146][147]。2014年2月にアップデートされたOS X v10.8.5から既定で有効となった[148]。
- ^ a b c d e f g h POODLEへの対応としてSSL 3.0においてCBCモードをすべて廃止した[149][150]ため、SSL 3.0では脆弱性が指摘されているRC4しか利用できず、RC4攻撃に対する脆弱性が増大している。
- ^ モバイルSafariおよびTLS/SSLを必要とするサードパーティ製のすべてのソフトウェアはiOS同梱のUIWebViewライブラリを使用する。iOS 5以降でTLS 1.1および1.2が既定で有効[155][156][157]。
ライブラリ[編集]
TLS/SSLライブラリの多くはオープンソースソフトウェアである。
| 実装 | SSL 2.0(安全ではない) | SSL 3.0(安全ではない) | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
|---|---|---|---|---|---|---|
| Botan | 非対応 | 非対応[176] | 対応 | 対応 | 対応 | |
| cryptlib | 非対応 | 既定で有効 | 対応 | 対応 | 対応 | |
| GnuTLS | 非対応[注 1] | 既定で無効[177] | 対応 | 対応 | 対応 | 対応(ドラフト版)[178] |
| Java Secure Socket Extension | 非対応[注 1] | 既定で無効[179] | 対応 | 対応 | 対応 | 対応 |
| LibreSSL | 非対応[180] | 既定で無効[181] | 対応 | 対応 | 対応 | |
| MatrixSSL | 非対応 | コンパイル時点で既定で無効[182] | 対応 | 対応 | 対応 | 対応(ドラフト版) |
| mbed TLS | 非対応 | 既定で無効[183] | 対応 | 対応 | 対応 | |
| Network Security Services | 既定で無効[注 2] | 既定で無効[185] | 対応 | 対応[186] | 対応[187] | 対応[188] |
| OpenSSL | 既定で無効[189] | 既定で有効 | 対応 | 対応[190] | 対応[190] | 対応[191] |
| RSA BSAFE[192] | 非対応 |