Chrome79のTLS1.1と1.2警告について
はじめに
Google Chrome 72からTLS1.0とTLS1.1非推奨となっていた。
そして、Google Chrome 79から警告が強化されることとなった。
ニュースサイト等では TLS1.0 , TLS1.1 , TLS1.2が有効なサイトでも、TLS1.0 , TLS1.1が含まれている場合は警告が出るかのような書き方をしているサイトもあったため、検証をしてみた。
ニュースの元となるChromiumのブログには以下の記載があった。
Last October we announced our plans to remove support for TLS 1.0 and 1.1 in Chrome 81. In this post we’re announcing a pre-removal phase in which we’ll introduce a gentler warning UI, and previewing the UI that we’ll use to block TLS 1.0 and 1.1 in Chrome 81. Site administrators should immediately enable TLS 1.2 or later to avoid these UI treatments.
Google翻訳
昨年10月、Chrome 81のTLS 1.0および1.1のサポートを削除する計画を発表しました。この投稿では、より穏やかな警告UIを導入する事前削除フェーズを発表し、使用するUIをプレビューしますChrome 81でTLS 1.0および1.1をブロックします。サイト管理者は、これらのUI処理を回避するために、TLS 1.2以降を直ちに有効にする必要があります。
中略
Pre-removal warning
Starting January 13, 2020, for Chrome 79 and higher, we will show a “Not Secure” indicator for sites using TLS 1.0 or 1.1 to alert users to the outdated configuration:
Google翻訳
2020年1月13日から、Chrome 79以降では、TLS 1.0または1.1を使用して古い構成をユーザーに警告するサイトに「安全でない」インジケータを表示します。
結論
結論から言うと、
TLS1.2以降でハンドシェイク可能なら、TLS1.0,TLS1.1が有効でも警告は出ない。
検証
概要
サーバ側はnginxでhttps通信を可能とする。
クライアント側はWindowsServer2019にてChromeのGA,Beta,Canaryの3種類で動作確認をする。
サーバ側
ssl_protocols TLSv1 TLS1.1 TLSv1.2 ; # ←ここを修正する
server {
listen 443;
ssl on;
server_name tlstest.XXXXX.XX;
ssl_certificate /etc/test.crt;
ssl_certificate_key /etc/test.key;
location / {
}
}
クライアント側
Chrome GA 77
Chrome Beta 78
Chrome Canary 79
Show security warnings for sites using legacy TLS versionsを有効にしておく
TLS1.0、TLS1.1のみが有効
Chrome GA 77
Chrome Beta 78
Chrome Canary 79
保護されていない通信が表示されている!!
TLS1.0、TLS1.1、TLS1.2全てが有効
Chrome GA 77
Chrome Beta 78
Chrome Canary 79
保護されていない通信が表示されない!!
