パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenSSL 1.1.1 リリース」記事へのコメント

  • by Anonymous Coward

    OpenSSL という名前も OpenTLS にしようという提案もあったのですが、

    Rename OpenSSL to OpenTLS To Comply with RFC7568 #6384 [github.com]

    The OpenSSL "brand" is very recognized. We're not going to do this.

    としてクローズされてしまいました。

    SSLという名称は今後も使い続けられてしまう事でしょう。

    サーバ管理者もユーザもTLS 1.0-1.1を無効にするかは互換性とセキュリティのバランスで考えてあげるとしても、SSL 3.0はもう無効にしたげてくださいね。
    IE6でさえTLS1.0には対応してますから互換性重視の人もSSLは完全に殺してあげて大丈夫です。

    • by Anonymous Coward

      そしてTLSなら安全と勘違いするようになるんだな。

      • by Anonymous Coward on 2018年09月16日 22時07分 (#3481897)

        クレジットカード業界とかYahoo!とかでTLS1.2未満を無効化する動きがありますが、
        現時点では脆弱性を過大評価しているとしか思えません
        TLS1.2未満固有の脆弱性は理論通りのセキュリティ強度を保てなくなるといったもので、
        現時点で現実的な時間で悪用可能な脆弱性は見つかってないのでTLS1.0無効化は急ぐ必要はほんとはないのです

        例えば、TLS 1.0だからクレジットカード番号が漏洩したとか、DNS毒入れで不正なサーバに繋がっているのにTLS 1.0だから偽証明書が正規の証明書として受け入れられた、なんて事件は1件も確認されてません

        TLS 1.2は利用可能なciphersの組み合わせとか要件が制限されて危険な実装がされにくくなったなどメリットは大きいし
        TLS 1.3はハンドシェイクの回数が減って高速化するなど速度面でのメリットが大きいので
        徐々に移行していくのは好ましいことなんですけどね

        (タイトルの今のところはTLSならTLS 1.0でも安全ってのは危険なciphersの組み合わせを無効にするとか安全に設定した場合に限ります
         TLS 1.2とかは要件定義が厳密になって鯖管が何も考えなくても安全な設定になります)

        親コメント
        • by Anonymous Coward

          問題は現時点じゃなくて、「TLSなら安全」という文言だけが未来永劫受け継がれてカーゴ・カルト化してしまうことでしょ

          • そもそも暗号はいつか破られるもので、
            現時点~十数年以内のCPU能力なら安全、というだけで、CPU能力が向上したり量子コンピュータが実用化したりした未来の安全を保証するわけではないので、
            証明書には有効期限があるし、推奨鍵長や暗号方式は十数年で定期的に変わる。

            ~というのはセキュリティの基本だと思うので、
            「〇〇なら安全」とか「未来永劫」とかいう文言が出る時点でアウトな気がする。

            親コメント
          • by Anonymous Coward

            あ、それは大丈夫です。

            ULS (Updated Transport Layer Security)
            VLS (Vigorously Updated Transport Layer Security)
            :

            • by Anonymous Coward

              ∀ Layer Security
              LS Seed
              LS 00
              LS AGE
              LS ビルドファイターズ
              LSのレコンギスタ
              LS 鉄血のオルフェンズ

              そしてオリジンに戻る。

            • by Anonymous Coward

              電波の名前 [wikipedia.org]ネタかなと思ったが順序逆だし関係なかったか。

              電波のアレを応用して、
              VLS(Very secure transport Layer Security)

              ULS(Ultra secure transport Layer Security)

              SLS(Super secure transport Layer Security)

              ELS(Extremely secure transport Layer Security)

              TLS(Tremendously secure transport Layer

        • by Anonymous Coward

          どちらかというと、ユーザーを安寧のうちに居させると、いつまで経っても更新されないから、みんなでトレンド追いかけましょう/追いかけさせましょう、という方向に進めたように思えます。

          当然、そのモチベーションは、レガシーサポートは嫌だし、最新にすれば直ってるのにいつまでも駄々こねられてるってのが大きいかと。

          現実ラインは確かに 1.0 でも十分だけど、1.2 でさえ 2008 年の規格なのだから、それが十全に広まってない時点でお察しかと。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...