「SSLチェックって大事だよね」では自分のサイトのSSLの脆弱性状況についていろいろ書いてみたが、SSLに対応しているサイト全体の傾向としてはどうなっているだろうか?「SSL Pulseの統計情報で見るSSL/TLS (2015年8月版) – 自堕落な技術者の日記」にて参考になる記事があったのでそれを元に述べてみたい。当該記事を読んだ限り、以下の傾向があるといえる。
TLS1.0はほぼすべて対応、1.1以降も普及が進んでいる
TLS1.0の対応率は100%弱を維持している。
TLS1.1及びTLS1.2はほぼ同じペースでサポート率が増えている。
一方、SSL3.0は2014年10月に発見されたPOODLE攻撃の影響でサポート率は大幅に減少した(それ以前は100%弱を維持していた)。
SSL2.0のサポートは減少を続けている。
BEAST攻撃に脆弱なサーバーが増えている
脆弱性対応の推移として、TLS1.0におけるBEAST攻撃に脆弱性を持つサーバーが増えている ((TLS1.1以降では影響はない)) 。
もっとも、これは今日ではTLS1.0でもほぼすべてのクライアントで対策が行われており、対策済みのクライアントを使う分には問題が発生しない。そのため、サーバーサイドでBEAST攻撃への対策をする必要性がうすれてきたことによるものと推測される。
また、BEAST攻撃対策としてRC4を使うという方法があるが、RC4にも脆弱性があり非推奨となったため、するべきではないとのこと。
SHA256withRSA証明書普及率が急増
SHA1withRSA証明書の対応が2017年1月に各ブラウザが停止するということを受けて、SHA256withRSAへの移行が急激に進んでいる。証明書についても信頼性がより向上するように対策がとられていることがわかる。
最後に
全体的にはSSLのセキュリティーについて、概ねより強固なものへと変遷していることがうかがえる。一方、サーバーサイドでのBEAST攻撃へのサーバーサイドでの対策がおろそかになっているなど、脆弱性が問題となりうるところもあるようである。
いずれにしても、SSL/TLSの設定がちゃんとしているかどうかはチェックしたほうがよさそうである。もし自分のサイトを持っていてチェックが必要ならQUALYS SSL LABO Server Testをやってみるとよいだろう。
ウェブマスター。本ブログでITを中心にいろいろな情報や意見などを提供しています。主にスマートフォン向けアプリやウェブアプリの開発を携わっています。ご用の方はコメントかコンタクトフォームにて。
