インターネット、特にWeb PKIやSSL / TLS業界の多くの分野では、我々は過去の意思決定に住んでいる傾向にあります。クリスピーパスワード、プロトコル設計、およびない非常に遠くに満足標準ソフトウェアから常に進歩のペースで彼を縛り付けます。多くの場合、新しいオペレーティングシステムやライブラリには、すぐに設計上の欠陥の遺産に対処するために多くの時間を過ごすには、次に生態系全体の必要性、広く使用されるようになってきます。
インターネットの大きさと重要性の増加により、我々は避けるために、より多くの情報に基づいた意思決定を行うためにしようとか、少なくともサイクルを短縮しています。最近では、2つのオペレーティングシステムには、生態系の健康を維持するために、2つの異なるアプローチを反映するように更新されました:
DebianはのみTLS 1.2をサポートする変化のそのプレリリースバージョンに貢献し、とMicrosoftは、Windows Server 2008でTLS 1.2のサポートを追加し始めました。
ビューの反対側の点を表すために選択された2 - 将来、別のルックバックにルック。
Debianはその不安定な建物のためのOpenSSLライブラリの新しいバージョンをリリースしました - 開発バージョンは、最新バージョンが含まれている、とだけTLS1.2をサポートしています。現在はMozillaの「現代」の構成設定は、TLS 1.2を使用することをお勧めします - これは非主流のは本当に珍しい操作します。
長期的な開発者クルトRoeckxを保つためにDebianのOpenSSLライブラリを書いた:「私はバスターのリリースのサポートは1.2 [TLS 1.0と1.1]もう一度を有効にする必要がないように十分な高さになりますTLSを願っています。」
バスターは、Linuxディストリビューションの次のメジャーバージョンであるDebianのコード10、です。いいえリリース日を発表しましたが、一年以上のリリースから。
人々は古いバージョンを使用したいために、Roeckxスペアではない、と彼は言った:。「強くあなたがTLS1.2のサポートを追加したり、他の側のサポートを追加することをお勧めします。」
バスターは、おそらくリリースの日まで待って、唯一の操作や大胆な構成を示し、もはやTLS1.2をサポートしていません。しかし、知っているSSL / TLSおよびWeb PKIに精通している人たちは、私たちだけでなく昼前、機能を実装するために、すべての先進的な遅延の患者です。
たとえば、Microsoftは、ちょうどその老化のWindows Server 2008のプラットフォームにTLS 1.1およびTLS 1.2のサポートを追加しました。
表面には、TLSの最適化されたバージョンのためのアドオンのサポートは良いことです。私たちは他の機能TLS Server 2008を見ればしかし、欠陥が明らかです:
- AES GCMをサポートしていません。
- パスワードのAEADありません
- ノーSNI(Serverの名前表示)をサポート
- サポートはありませんOCSPホチキス
これは非常に魅力的なHTTPSサーバではありません。たぶん、あなたは3年後にはおろか、今日を使用する必要はありません。
(IIS 7を使用して)Windows Server 2008の2020は、延長サポートフェーズのままです。しかし、なぜ今、TLS 1.2を追加しますか?
2018年6月の初めからは、TLS 1.1やPCIの互換性の以降のバージョンをサポートする必要があります。TLS 1.2を追加するためのブログ上の記事のいずれかで、マイクロソフトはPCIに言及されていません。それは障壁を削除する「古い保障協定を放棄」したい、とにコミットしていると言い、「ファーストクラスの暗号化。」
マイクロソフトは、他の現代的な機能の増加を無視する理由しかし、優れたセキュリティは、本当の目標ですか?公平を期すためには、Windows ServerのTLSのサポートは、2008年の悪くないです。少なくともPFS(完全転送秘密)パスワードを持っているECDHEサポート、ので。
時には、安全性と生態系に複数のギャップをもたらす可能性が古いシステムを最適化することを余儀なく。それはシステムに付着する口実を持っている企業や消費者を可能にしているので交換またはアップグレードする必要があります。
昨年クロームのDiffie-Hellmanの暗号化クラスの全体が一部で出により削除される理由はここにあります。それだけですべてのよりシンプルで安全をキャンセルする直接強い2048個のパラメータをサポートし続けることができますが。
Debianは唯一TLS1.2ニュースリリースは、最終決定ではないかもしれないサポートしていますが、これは本当に立派勇気あります。同時に、最終的にはTLS1.1とTLS1.2サポートを追加する場所Server 2008で言って良いか悪いかは本当に難しいです。待機をしてみましょうし、それを参照してください!
