パスワードを忘れた? アカウント作成
12959457 story
暗号

Mozilla、Firefox 52のデフォルトでTLS 1.3を有効にする計画 10

ストーリー by headless
有効 部門より
Mozillaは20日、Firefox 52のデフォルトでTLS 1.3を有効にする計画を明らかにした(GoogleグループでのアナウンスSoftpediaの記事Threatpostの記事)。

Mozillaでは6月にDeveloper EditionのFirefox 49にTLS 1.3のサポートを追加しており、安定版もFirefox 49以降でTLS 1.3をサポートしている。ただし、デフォルトでは無効になっているため、使用するには「about:config」画面で「security.tls.version.max」の値を「4」に変更する必要がある。

TLS 1.3は現在IETFが策定中の次期バージョンTLSであり、古い暗号プリミティブの除去や現代的な分析技術の使用などにより安全性や速度が向上する。Firefox 52では現時点で最新版のTLS 1.3 draft 16を実装し、利用可能になった段階でdraft 17にアップデートする計画だという。

2017年3月7日にリリース予定のFirefox 52は同時にESRとしてもリリースされるが、TLS 1.3がドラフトの段階ということもあり、ESRリリースでは有効にしないとのこと。

現在のところTLS 1.3はFirefoxのほか、Chrome Canaryが数か月前からサポートしており、Chrome 54でも「chrome://flags/」画面で有効なTLSの最大バージョンの選択肢に「TLS 1.3」が存在する。また、Cloudflareのサービスでは9月からTLS 1.3を利用できるようになっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • はやい内からTLS1.3を使ってる実績はほしいよね

    以前の1.2とかの時も互換性うんぬんで実装されても無効化が長かったし...
    安全のあれこれ考えると1.3に移行が進まないのは怖いから、はやく「1.3でちゃんと動くのが普通」って実体になってほしいところ

    # まだドラフトだから、まずは正式のためのテストヘッドみたいなもんだけどさ

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2016年10月23日 12時18分 (#3101766)

    Google Chromeでもchrome://flags/で
    TLS1.3有効化できますが
    有効にするともれなくhttps通信が失敗します
    サイトが1.3に対応してない且つ
    1.2以下にネゴシエーションできないという状況ようです

    で、Firefoxの強制有効化でやらかした経緯を踏まえると
    OMTCやボタン削除やアドオン仕様変更、etc...
    どう考えてもまともな実装になる未来が見えない

    # 自由度捨てさって強制したらFirefoxの存在価値ないじゃない

    • by Anonymous Coward on 2016年10月23日 13時29分 (#3101790)

      ChromeでTLS1.3有効にしてみたけど別に普通に接続できるが? おま環のMITM proxyか何かが腐ってるんだろ。

      ついでにいうと、腐れサーバーとの互換性向上のためdraft-16でネゴシエーションの方法が変わった。リリース版のChromeはまだdraft-16に対応していないからChrome Canaryでも試してみたら。

      親コメント
      • by Anonymous Coward

        ああ確かに冤罪ぽいですすんません
        ↓に引っかかってた可能性大
        グローバルサインのルート証明書が一時的に失効するトラブル
        http://it.srad.jp/story/16/10/24/0624223/ [it.srad.jp]

        # おま環ならぬ どこぞの鯖管のせいだった

    • by Anonymous Coward

      1.2以下にネゴシエーションできないという状況ようです

      サーバーがもれなくバグっているっていうこと?

      • by Anonymous Coward

        ブラウザ側かサーバー側かは不明
        ただWebサーバー側のデフォルト設定も
        TLS1.3以降を考慮してるかってーと疑問
        まだそのあたりも整ってないんじゃないかな

        # SSL3.0以下無効化を手動でしたところとかもTLS1.3以降考慮できてるか疑問

        • by Anonymous Coward

          普通にTLS 1.2を実装していればTLS 1.3以上に対応していなくてもネゴシエーションに失敗することはない。失敗するのは普通じゃない腐ったサーバーだけ。

          さらにdraft-16で腐ったサーバー相手でもネゴシエーションが失敗することのないよう改善が施された。まだドラフトなのに有効化に踏み切ったのもdraft-16での改善を踏まえてのことだろう。

    • by Anonymous Coward

      おま環

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...