アカウント名:
パスワード:
OpenSSL という名前も OpenTLS にしようという提案もあったのですが、
Rename OpenSSL to OpenTLS To Comply with RFC7568 #6384 [github.com]
The OpenSSL "brand" is very recognized. We're not going to do this.
としてクローズされてしまいました。
SSLという名称は今後も使い続けられてしまう事でしょう。
サーバ管理者もユーザもTLS 1.0-1.1を無効にするかは互換性とセキュリティのバランスで考えてあげるとしても、SSL 3.0はもう無効にしたげてくださいね。IE6でさえTLS1.0には対応してますから互換性重視の人もSSLは完全に殺してあげて大丈夫です。
そしてTLSなら安全と勘違いするようになるんだな。
クレジットカード業界とかYahoo!とかでTLS1.2未満を無効化する動きがありますが、現時点では脆弱性を過大評価しているとしか思えませんTLS1.2未満固有の脆弱性は理論通りのセキュリティ強度を保てなくなるといったもので、現時点で現実的な時間で悪用可能な脆弱性は見つかってないのでTLS1.0無効化は急ぐ必要はほんとはないのです
例えば、TLS 1.0だからクレジットカード番号が漏洩したとか、DNS毒入れで不正なサーバに繋がっているのにTLS 1.0だから偽証明書が正規の証明書として受け入れられた、なんて事件は1件も確認されてません
TLS 1.2は利用可能なciphersの組み合わせと
問題は現時点じゃなくて、「TLSなら安全」という文言だけが未来永劫受け継がれてカーゴ・カルト化してしまうことでしょ
そもそも暗号はいつか破られるもので、現時点~十数年以内のCPU能力なら安全、というだけで、CPU能力が向上したり量子コンピュータが実用化したりした未来の安全を保証するわけではないので、証明書には有効期限があるし、推奨鍵長や暗号方式は十数年で定期的に変わる。
~というのはセキュリティの基本だと思うので、「〇〇なら安全」とか「未来永劫」とかいう文言が出る時点でアウトな気がする。
あ、それは大丈夫です。
ULS (Updated Transport Layer Security)VLS (Vigorously Updated Transport Layer Security):
∀ Layer SecurityLS SeedLS 00LS AGELS ビルドファイターズLSのレコンギスタLS 鉄血のオルフェンズ
そしてオリジンに戻る。
電波の名前 [wikipedia.org]ネタかなと思ったが順序逆だし関係なかったか。
電波のアレを応用して、VLS(Very secure transport Layer Security)↓ULS(Ultra secure transport Layer Security)↓SLS(Super secure transport Layer Security)↓ELS(Extremely secure transport Layer Security)↓TLS(Tremendously secure transport Layer
どちらかというと、ユーザーを安寧のうちに居させると、いつまで経っても更新されないから、みんなでトレンド追いかけましょう/追いかけさせましょう、という方向に進めたように思えます。
当然、そのモチベーションは、レガシーサポートは嫌だし、最新にすれば直ってるのにいつまでも駄々こねられてるってのが大きいかと。
現実ラインは確かに 1.0 でも十分だけど、1.2 でさえ 2008 年の規格なのだから、それが十全に広まってない時点でお察しかと。
「128ビットの高セキュリティ」とかいう2000年代前半からの「秘伝のタレ」をいまだに受け継いでいるところもある始末だからな(RC4だって128ビットだ)。ラーメンじゃないんだからさ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
TLS なのに OpenSSL (スコア:0)
OpenSSL という名前も OpenTLS にしようという提案もあったのですが、
Rename OpenSSL to OpenTLS To Comply with RFC7568 #6384 [github.com]
The OpenSSL "brand" is very recognized. We're not going to do this.
としてクローズされてしまいました。
SSLという名称は今後も使い続けられてしまう事でしょう。
サーバ管理者もユーザもTLS 1.0-1.1を無効にするかは互換性とセキュリティのバランスで考えてあげるとしても、SSL 3.0はもう無効にしたげてくださいね。
IE6でさえTLS1.0には対応してますから互換性重視の人もSSLは完全に殺してあげて大丈夫です。
Re:TLS なのに OpenSSL (スコア:0)
そしてTLSなら安全と勘違いするようになるんだな。
今のところはTLSならTLS 1.0でも安全ですよ (スコア:0)
クレジットカード業界とかYahoo!とかでTLS1.2未満を無効化する動きがありますが、
現時点では脆弱性を過大評価しているとしか思えません
TLS1.2未満固有の脆弱性は理論通りのセキュリティ強度を保てなくなるといったもので、
現時点で現実的な時間で悪用可能な脆弱性は見つかってないのでTLS1.0無効化は急ぐ必要はほんとはないのです
例えば、TLS 1.0だからクレジットカード番号が漏洩したとか、DNS毒入れで不正なサーバに繋がっているのにTLS 1.0だから偽証明書が正規の証明書として受け入れられた、なんて事件は1件も確認されてません
TLS 1.2は利用可能なciphersの組み合わせと
Re: (スコア:0)
問題は現時点じゃなくて、「TLSなら安全」という文言だけが未来永劫受け継がれてカーゴ・カルト化してしまうことでしょ
Re:今のところはTLSならTLS 1.0でも安全ですよ (スコア:1)
そもそも暗号はいつか破られるもので、
現時点~十数年以内のCPU能力なら安全、というだけで、CPU能力が向上したり量子コンピュータが実用化したりした未来の安全を保証するわけではないので、
証明書には有効期限があるし、推奨鍵長や暗号方式は十数年で定期的に変わる。
~というのはセキュリティの基本だと思うので、
「〇〇なら安全」とか「未来永劫」とかいう文言が出る時点でアウトな気がする。
Re: (スコア:0)
あ、それは大丈夫です。
ULS (Updated Transport Layer Security)
VLS (Vigorously Updated Transport Layer Security)
:
Re: (スコア:0)
∀ Layer Security
LS Seed
LS 00
LS AGE
LS ビルドファイターズ
LSのレコンギスタ
LS 鉄血のオルフェンズ
そしてオリジンに戻る。
Re: (スコア:0)
電波の名前 [wikipedia.org]ネタかなと思ったが順序逆だし関係なかったか。
電波のアレを応用して、
VLS(Very secure transport Layer Security)
↓
ULS(Ultra secure transport Layer Security)
↓
SLS(Super secure transport Layer Security)
↓
ELS(Extremely secure transport Layer Security)
↓
TLS(Tremendously secure transport Layer
Re: (スコア:0)
どちらかというと、ユーザーを安寧のうちに居させると、いつまで経っても更新されないから、みんなでトレンド追いかけましょう/追いかけさせましょう、という方向に進めたように思えます。
当然、そのモチベーションは、レガシーサポートは嫌だし、最新にすれば直ってるのにいつまでも駄々こねられてるってのが大きいかと。
現実ラインは確かに 1.0 でも十分だけど、1.2 でさえ 2008 年の規格なのだから、それが十全に広まってない時点でお察しかと。
Re: (スコア:0)
「128ビットの高セキュリティ」とかいう2000年代前半からの「秘伝のタレ」をいまだに受け継いでいるところもある始末だからな(RC4だって128ビットだ)。ラーメンじゃないんだからさ