フィーチャフォンなどでの TLS/SSL 問題

  • トゥィッターで言及(トゥィート)
  • アメーバで共有
  • はてなブックマークに登録
  • フェイスブックで共有
  • タンブラーで共有
  • グーグルプラスで共有

最近、TLS/SSL 証明書の更新で一部フィーチャフォン等でのアクセスが不可能になると騒ぎになっているようです。


何が問題なのか?

今回の問題は、TLS/SSL 暗号化処理で用いられてきたアルゴリズムが変更される事が発端となっております。

従来、TLS/SSL 暗号化には SHA-1 と呼ばれたアルゴリズムが採用されてきましたが、これを更に強力にした SHA-2 に平成27年末までに完全移行する事となったのです。

  • SHA-1 は旧いアルゴリズムのため、コンピュータの能力向上に依り破られるリスクが高まっております。その上、脆弱性も発見されております。

SHA-1 と SHA-2 は互換性が全く無く、従って SHA-2 に対応していない旧いウェブブラウザでは HTTPS での接続が不可能になります。

つまり、旧型ブラウザでは平成27年末までに一部サイトの閲覧が出来なくなるのです。


どれが影響を受けるのか?

PC の場合はウェブブラウザを簡単に差替えられるので、最新のブラウザに差替えれば済む問題です。

  • 但し、OS サポート終了で最新版が配布されない場合もあります。

でも、携帯電話のブラウザは更新が難しく、このため対応出来ず仕舞いになる恐れがあります。

具体的に言うと、平成22年までに発売された端末はほぼ間違いなく HTTPS でのアクセスが出来なくなります。

エヌ・ティ・ティ・ドコモの場合、型番が三桁以上の端末(90xiシリーズなど)は全滅となります。

二桁のものでも、平成22年までに発売された端末はほぼアウトとなるようです。


フィーチャフォン切捨てのための陰謀か?

日本でも、スマートフォンの急速な普及に依り、フィーチャフォン利用者の切捨てが進む昨今です。

そんな中にあって、今回の動きも「ガラケー切捨てのための陰謀か?」と思われるかも知れません。


スマートフォンにも影響を受ける端末があります

ですが、この問題はフィーチャフォンだけでなく、スマートフォンも影響を受けます

具体的には、アンドロイドのヴァージョン 2 以前の端末で対応出来ない端末があります。

私が見る限り、平成27年 9月現在の日本でのアンドロイド端末は大半がヴァージョン 4 となっているため、この問題に引掛るスマートフォン・タブレットは非常に少ない筈です。

ただ、少数とは言えヴァージョン 2 の端末を使っている方もまだいらっしゃいます。

日本では携帯電話の契約を促進させるため、端末を月賦で買わせる事が横行しており、このため新しい端末に換えたくても換えられない方も少なくありません。


モバイルサイトを作っている方へ

昨今、グーグル, トゥィッター, フェイスブック, ウィキペディアなど著名なサイトが次々と TLS/SSL に移行しております。

今までは、個人情報の送信などプライヴァシィを守る必要がある場合に限って使用された TLS/SSL ですが、大した情報も送らせていないサイトでさえ TLS/SSL を採用するようになったのです。

  • 但し、TLS/SSL を使用する事で、閲覧者の動きが第三者に盗聴される危険性が激減すると言う利点があり、それこそが昨今の TLS/SSL ブームに繋がっているのです。
  • まぁ、斯く言う私も、本拠地サイトでの TLS 採用を検討していない訳ではありません。

グーグルは、TLS/SSL 採用サイトを優遇するアルゴリズムを採用しました。

但し、今のところは 非 TLS/SSL サイトと TLS/SSL サイトが全く同じ評価の場合に TLS サイトを優遇すると言う程度ですが、更に差を与えたいと言う話もあります。

このような状況のため、昨今では TLS/SSL の採用を強く求める動きが活発になっております。


フィーチャフォン対応サイトは、非 TLS/SSL でもアクセス可能にしよう

ただ、モバイルサイト──特にフィーチャフォンを対象としたサイト──に於いては、特に個人情報をやり取りしているなど明確な必要性がない限り、TLS/SSL 無しでもアクセス可能にした方が良いかも知れません。

或いは、非 TLS/SSL サイトから対応端末だけ TLS/SSL サイトに移動させると良いでしょう。

具体的には、

  1. 非 TLS/SSL サイトにアクセスして頂き、
  2. その際にユーザエージェント文字列を調べ、
    • フィーチャフォン及び旧型アンドロイド以外は TLS/SSL サイトに転送し、
    • それ以外の方を非 TLS/SSL サイトに残す

と言う方法を取ればよいでしょう。

  • 逆に、TLS/SSL サイトから非 TLS/SSL サイトに飛ばすのは、SHA-2 非対応端末では初めの段階でアクセス出来ないのでダメです。

場合に依っては、

  • TLS/SSL を使用したPC/スマートフォンサイトと
  • TLS/SSL を使用しないフィーチャフォン向けサイト

に分割するなどの対応も考えられます。

  • 私も、本拠地サイトを TLS/SSL 化する際には、フィーチャフォン向けには非 TLS/SSL 対応にするつもりです。

もっとも、フィーチャフォンのブラウザに搭載されている SSL 証明書は PC ブラウザに比べて種類が少なく、このため SSL を採用出来ない方も多いと思われます。

  • 特に年数千円で取得出来る安い証明書だと対応していない場合もあるようです。

さいごに

今回の動きは世界規模ですので、フィーチャフォンに関わる方は否応なく巻き込まれる事になるでしょう。

個人的には、携帯電話会社には、SHA-2 非対応フィーチャフォン所持者に無償で SHA-2 対応端末を配布してもらいたいくらいです。

  • 実際には、SHA-2 非対応端末はフィーチャフォンの枠内でも相対的に激減しているらしいですが…。
関連記事
スポンサーサイト