スマホはTLS 1.0を無効化してはいけない

最近、SSL/TLSの脆弱性が話題になっていて、対応を考えている人も多いと思いますが、セキュリティ対策を実際に講じるか否かは慎重に判断する必要があります。というのも、SSL/TLSの設定変更を行うと、スマートフォンからアクセスできなくなる可能性があるからです。

TLS 1.0の対応状況

SSL 3.0/TLS 1.0は非推奨とされているので、SSL 3.0/TLS 1.0を無効化する方向に進みそうですが、TLS 1.0を無効化したことによる影響はあるのか?ないのか?

以下はGalaxy NexusでTLS 1.0が無効化されているサイトにアクセスした結果です。接続エラーとなってしまいました。

 tls

そこで、10機種程度のスマートフォン・タブレットの標準ブラウザで確認してみると次のようになりました。

TLS 1.0を無効化したサイトに接続できない機種

  • Arrows NX(Android 4.2.2)
  • Galaxy Nexus(Android 4.2.2)
  • Galaxy S3(Android 4.1.2)

TLS 1.0を無効化したサイトに接続できる機種

  • iPhone 6(iOS 8)
  • iPhone 5S(iOS 8)
  • iPhone 5(iOS 7)
  • iPhone 4S(iOS 6)
  • Nexus 5(Android 5.0.1)
  • Galaxy S4(Android 4.4.2)
  • AQUOS PHONE ZETA(Android 4.4.2)
  • Nexus 7(Android 4.3)

まとめると、Android 4.2以下の機種ではTLS 1.0に対応していないことになります。Androidのバージョン別シェアを見ると、Android 4.2以下は約35%を占めるので、実際のサイトでTLS 1.0を無効化するのは現実には難しいのではないかと思います。

フィーチャーフォンの対応状況

フィーチャーフォンの場合、TLS 1.1以上に対応している機種は存在しないので、SSLとTLS 1.0を無効化してしまうと、どの機種からも閲覧できません。それどころか、TLS 1.0に対応していない機種もあるので、フィーチャーフォン全機種に対応したサイトではSSL 3.0を有効にしたままにする必要があります。

まとめ

SHA-1からSHA-256への移行、Diffie-Hellman鍵交換の問題など、SSL/TLSに関して深い知識が必要な時代になりました。また時期を見て記事を書きたいと思います。