パスワードを忘れた? アカウント作成
13717244 story
暗号

OpenSSL 1.1.1 リリース 47

ストーリー by headless
新型 部門より
iida 曰く、

OpenSSL 1.1.1が11日、正式にリリースされた(OpenSSL Blogの記事)。

新しい特長は第一に、先月発行されたTLS 1.3 (RFC 8446) のサポートだ。また、乱数生成子は全面的に書き直されているほか、SHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートも追加されている。ブログ記事によると、1.1.0からの差分で200人を超える貢献者が5,000回近くコミットしたとのこと。

なにはともあれ関係各位の努力とご苦労に敬意を表したい。

OpenSSL 1.1.1は新たな長期サポート(LTS)版となり、少なくとも5年間のサポートが提供される、

  • by Anonymous Coward on 2018年09月16日 16時18分 (#3481790)

    OpenSSL という名前も OpenTLS にしようという提案もあったのですが、

    Rename OpenSSL to OpenTLS To Comply with RFC7568 #6384 [github.com]

    The OpenSSL "brand" is very recognized. We're not going to do this.

    としてクローズされてしまいました。

    SSLという名称は今後も使い続けられてしまう事でしょう。

    サーバ管理者もユーザもTLS 1.0-1.1を無効にするかは互換性とセキュリティのバランスで考えてあげるとしても、SSL 3.0はもう無効にしたげてくださいね。
    IE6でさえTLS1.0には対応してますから互換性重視の人もSSLは完全に殺してあげて大丈夫です。

    ここに返信
    • by Anonymous Coward on 2018年09月16日 18時16分 (#3481823)

      電話サポートしてるんですけど、『Yahoo! JAPANでは弊社ウェブサービスのセキュリティを強化するため、2018年9月末までに、インターネット通信暗号化方式「TLS1.0」および「TLS1.1」のサポートを順次終了いたします』 https://security.yahoo.co.jp/news/tls12.html [yahoo.co.jp] の影響の成果だと思いますけど、ここのところ Windows Vista で見えないというお問い合わせをよく受けております。

      ここはもう SSL という言葉はなく、 TLS しか出てきませんね。

      これのおかげで Vista 使うのやめましょうと言いやすくなりました。ありがとう Yahoo! Japan 様。

    • by Anonymous Coward

      昔は頑張ってドキュメントにSSL/TLSとか書いてたけど、最近はもはや一向にTLSという単語が
      一般に浸透しする気配もないし聞かれても面倒なのでSSLとのみ書いている

      私は敗北した

    • by Anonymous Coward

      規格としての名称よりブランドを重視するようなソフトウェア開発者に、セキュリティ分野を触らせたらいかんと思うのだが。

      単体で完結するモノならともかく、一般人も使うブラウザはTLSと表記されてるわけで(かつ後方互換のために通常は使うべきでないSSL3.0あたりがオプションとして残ってたりするわけで)これって拙いだろう、としか思えない。

    • SSLという名前のままでバージョン番号上げていけばよかったのに……
      無駄に名前を変えると混乱を招くことの典型だわ

      • by Anonymous Coward on 2018年09月16日 20時34分 (#3481857)

        IEがdocument.allやwindows.eventやらevent.returnValueやらevent.cancelBubbleやらevent.srcElementやらdocument.charsetやらもろもろも独自拡張導入

        W3Cがちょっと名前を変えて標準化

        長きにわたる互換性問題に業界全体が苦しめられた末、IE11でようやくほぼIE独自拡張を撤廃

        WebKitがIE互換のために導入していたIE独自拡張をEdgeが「WebKit互換のため」再実装して、標準化されてFirefoxも実装

        というコントのような流れもありました

        • by Anonymous Coward

          WebKitがIE互換のために導入していたIE独自拡張をEdgeが「WebKit互換のため」再実装して、標準化されてFirefoxも実装

          というコントのような流れもありました

          そしてUser Agentがカオスすぎる現在に至る

          • by Anonymous Coward

            User Agentは一旦廃止して、もう少しマトモな(一元化された)規格が必要な気がする。
            誰が音頭をとるべきかって言うと難しいけど。

            • by Anonymous Coward

              サポートしている機能を通知するフィールドを足して、
              UAでの識別がお役御免になったら以後はブラウザ名とバージョンだけUAに既述、で良い気がするな。
              ちゃんとメンテしてるサイトはUA見なくなるし、いつまでもUA見てるサイトの「最新機能対応」はあまり意味がないだろうし。

              そもそも真っ当な目的の為にUAでレスポンスを切り替えてる実装がどれだけあるやら、だけど。

      • by Anonymous Coward

        SSLとTLSが同時に存在してたから無理だったのでは。
        SSLが終わった後にTLSが出来たのならその通りだけど。
        まぁ、今からでもTLS1.3をSSL4.3と言い換えますか。

        • by Anonymous Coward

          プロトコルバージョンに従うなら4.3でなく3.4では?(大混乱)

          • by Anonymous Coward

            TLS1.0をSSL3.0の次って事で4.0として番号振ったんだろうけど、
            TLS1.0こそ中身ほとんどSSL3.0で微妙い存在っていうね……
            SSL全部非推奨ヤッターとか言いたいところだけど結局非推奨なTLS1.0がSSLじゃないからセーフみたいな顔してたりSSLとTLSの境界は言うほど大きくないのがなんとも。
            別の単語の略称って体裁でもいいからSSLの略語になる名前つけてくれてたらなぁ……

        • by Anonymous Coward

          SSL2とSSL3だって同時に存在したんだしSSL4として同時に存在させておいても別に問題はない。
          #3481857がネタにしてるけど、策定した団体の都合で看板変えたに過ぎず、
          利用者視点から見れば無駄な綱引きに振り回されたに過ぎない。

    • by Anonymous Coward

      そしてTLSなら安全と勘違いするようになるんだな。

      • クレジットカード業界とかYahoo!とかでTLS1.2未満を無効化する動きがありますが、
        現時点では脆弱性を過大評価しているとしか思えません
        TLS1.2未満固有の脆弱性は理論通りのセキュリティ強度を保てなくなるといったもので、
        現時点で現実的な時間で悪用可能な脆弱性は見つかってないのでTLS1.0無効化は急ぐ必要はほんとはないのです

        例えば、TLS 1.0だからクレジットカード番号が漏洩したとか、DNS毒入れで不正なサーバに繋がっているのにTLS 1.0だから偽証明書が正規の証明書として受け入れられた、なんて事件は1件も確認されてません

        TLS 1.2は利用可能なciphersの組み合わせと

        • by Anonymous Coward

          問題は現時点じゃなくて、「TLSなら安全」という文言だけが未来永劫受け継がれてカーゴ・カルト化してしまうことでしょ

          • そもそも暗号はいつか破られるもので、
            現時点~十数年以内のCPU能力なら安全、というだけで、CPU能力が向上したり量子コンピュータが実用化したりした未来の安全を保証するわけではないので、
            証明書には有効期限があるし、推奨鍵長や暗号方式は十数年で定期的に変わる。

            ~というのはセキュリティの基本だと思うので、
            「〇〇なら安全」とか「未来永劫」とかいう文言が出る時点でアウトな気がする。

          • by Anonymous Coward

            あ、それは大丈夫です。

            ULS (Updated Transport Layer Security)
            VLS (Vigorously Updated Transport Layer Security)
            :

            • by Anonymous Coward

              ∀ Layer Security
              LS Seed
              LS 00
              LS AGE
              LS ビルドファイターズ
              LSのレコンギスタ
              LS 鉄血のオルフェンズ

              そしてオリジンに戻る。

            • by Anonymous Coward

              電波の名前 [wikipedia.org]ネタかなと思ったが順序逆だし関係なかったか。

              電波のアレを応用して、
              VLS(Very secure transport Layer Security)

              ULS(Ultra secure transport Layer Security)

              SLS(Super secure transport Layer Security)

              ELS(Extremely secure transport Layer Security)

              TLS(Tremendously secure transport Layer

      • by Anonymous Coward

        「128ビットの高セキュリティ」とかいう2000年代前半からの「秘伝のタレ」をいまだに受け継いでいるところもある始末だからな(RC4だって128ビットだ)。ラーメンじゃないんだからさ

    • by Anonymous Coward

      とはいえ、OpenSSLは低レイヤーのライブラリなので、OpenTLSに名前を変えたところで、SSLという言葉が使わなくなるほどの影響力はないんじゃないかと思います。

    • by Anonymous Coward

      “SSL”って文字列には罪も脆弱性もないし言葉狩りしても仕方ないでしょう。

      「httpt://~~~~~~~」とか意味があるとも思えないし。

      • by Suzuno (48093) on 2018年09月17日 11時49分 (#3482021) 日記

        httpsのsはSSLじゃなくてsecureのsなので、プロトコルがTLSでも、その後継でも、変える必要はない部分だよね?

        SSLという文字に罪はないけど、SSLという規格には脆弱性があるし、SSLをまだ使い続けてる(あるいはそう誤解させる)システムに何の利もないので、表記としては否定されるべきかと?

        • by Anonymous Coward

          TLSでも1.0は非推奨だし、名前の部分だけで考えること自体がダメだと思う。

          SSLの名前が消えるまでTLS使うのもいいけど、
          いっそSSLから引き継いでる内部バージョン使ってSSL3.xとかに名前戻してくれても良い。
          なんか妙に打ちにくい・言いにくい気がするんだよねTLS。SSLのが楽い。

    • by Anonymous Coward

      というかOpenSSLで SSL4.0の話も聞くのでOpenSSLでいんじゃない?

    • by Anonymous Coward

      OpenSSLだけでなく、ApacheのSSLEngine onやNginxのlisten 443 ssl http2;のように、いろんなソフトウェアの設定項目にSSLという言葉が使われていて、そっちもSSLという言葉が消えない理由として大きいと思います。

  • by Anonymous Coward on 2018年09月16日 16時52分 (#3481798)

    テストブランチのSidに来ていたので試しましたが
    Apache側がTLSv1.3なんて知らないよ
    ってことでダメでした
    とっととNginXにしろってことっすかね

    ここに返信
  • by Anonymous Coward on 2018年09月16日 18時18分 (#3481825)

    LibreSSL
    BoringSSL

    ここに返信
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...