ニュース
「Google Chrome」にTLS 1.0/TLS 1.1の廃止に備えたUI変更
「Chrome 79」で“Not Secure”ラベル、「Chrome 81」で全画面警告が追加される
2019年10月2日 09:45
米Googleは10月1日(現地時間)、「TLS 1.0」「TLS 1.1」の廃止に備え、「Google Chrome」に警告を追加する方針を明らかにした。スムーズな移行のために、警告は段階的に強化される。
「TLS(Transport Layer Security)」はインターネット通信を暗号化するプロトコルだが、初期バージョンの「TLS 1.0」や「TLS 1.1」はすでに設計が古く、もはや安全なプロトコルとは言えない。そのため「Google Chrome」では今年1月に公開されたv72から「TLS 1.0」と「TLS 1.1」を非推奨とし、「デベロッパー ツール」のコンソールに警告メッセージを表示してサイト管理者に注意を促してきた。しかし、同社によると「Google Chrome」が利用するWebページのうち0.5%を超えるページで、依然として非推奨バージョンのTLSが用いられているという。
そこで、Googleは「TLS 1.0」「TLS 1.1」の機能を完全に削除する前に、2つのステップでユーザーインターフェイスに警告を追加することにしたという。
まず、2020年1月13日にリリースされる「Google Chrome 79」以降では、「TLS 1.0」「TLS 1.1」を利用したWebサイトに接続するとアドレスバーに“Not Secure(保護されていない通信)”というラベルが表示されるようになる。
この段階ではまだWebページへのアクセスはブロックされないが、2020年3月に正式リリースされる予定の「Google Chrome 81」では警告がさらに強化され、非推奨バージョンのTLSを利用するWebサイトへ接続しようとすると、代わりに警告画面が表示されるようになる(インタースティシャル警告)。警告を解除すればWebサイトにアクセスすることは可能だが、サイト管理者による早急な対応が必要となるだろう。
なお、エンタープライズ展開で対応までに時間を要する場合は、“SSLVersionMin”ポリシーを“tls1”や“tls1.1”へ切り替えることで「TLS 1.0」「TLS 1.1」を再度有効化することが可能。2021年1月まで警告ユーザーインターフェイスを無効化できる。
お詫びと訂正: 記事初出時、「TLS 1.0」「TLS 1.1」を再度有効化する方法に誤りがございました。お詫びして訂正いたします。