0828名無しさん@お腹いっぱい。
2018/05/30(水) 02:56:11.810Let's Encryptの証明書自体はIE6でも対応しているから、TLS 1.0が有効ならIE6からでもアクセスできるのに
なのでTLS 1.2強制のためにIE6を切り捨てるというのは、どうしても納得いかない
TLS 1.0 がただちに危険だというならやむを得ないが、TLS 1.0 の脆弱性とされている BEAST や POODLE は、
一定の条件下であれば理論上暗号解読に必要な時間が短縮されるという程度のものであり、今すぐ攻撃が成功する可能性は低いとされている
まだ、実際に TLS 1.0 が使われている通信の解読には誰も成功していない
TLS 1.0 の脆弱性は理論上暗号解読に必要な時間が短縮されるだけなので、悪用するためには暗号化されたパケットを傍受し、
それをHDD等に記録し、10年先〜20年先に解読するために長期間保管しておく必要がある(悪用できるのは遠い未来)
TLS 1.0 の脆弱性はまだ全く実害がないけど、TLS 1.0 を無効にしたら、下記の環境全てでアクセスできなくなるという「実害」がある
・Google Chrome 21 以下
・Android OS 4.0.4 以下の標準ブラウザ
・Android OS 4.4.4 以下の標準ブラウザのデフォルト設定 ← 設定でTLS1.1-1.2対応可能なもののデフォルト無効の影響は大きい
・Firefox 26 以下
・IE 10以下のデフォルト設定 ← 設定でTLS1.1-1.2対応可能なもののデフォルト無効の影響は大きい
・PS Vita
・PS3
そもそも共有サーバは、同居人がいる分、1台占有型のマネージドサーバより大幅に攻撃にさらされやすいので重要な個人情報を扱うには向かない
(SSH接続できる共有者は、不正に権限の昇格できるタイプの脆弱性の悪用が可能なため)
なので HTTPS 化の主目的は SEO、3G/LTEの通信の最適化という名の画像圧縮等の改竄の阻止、公衆無線LANからの接続での改竄防止程度のものなのだから
現時点で攻撃が成功していない TLS 1.0 は有効のままで全く問題がない
さくらが TLS 1.0 を無効化するのは、ただのセキュリティ重視していますというポーズに過ぎず、顧客からしたら迷惑この上ない
