TLS 1.2 以外をサーバー側で無効化した場合、アクセス数に影響はあるのか

サーバー
スポンサーリンク

TLS 1.2 以外をサーバー側で無効化した場合、アクセス数に影響はあるのか

しょぼんブログでは、http2をサーバー側で有効化している関係上、SSL化対応を実施しています。

SSL通信を行う際には、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3(draft)のプロトコルを利用するようになっています。

これらのプロトコルには様々な脆弱性を抱えており、例えばSSL 2.0にはDROWNと呼ばれる脆弱性が、SSL 3.0、TLS 1.0、TLS 1.1にはPOODLEと呼ばれる脆弱性がそれぞれ発見されています。

そのため、Global SignはTLS 1.2への移行の必要性について言及しています。では、さくっとTLS 1.2以外を無効化すれば良いのでは、と思いたいところですが、TLS 1.2以外を無効化すると、ページ表示の互換性問題が発生します。

TLS 1.2に対応していないブラウザの存在

実はTLS 1.2に対応していないブラウザが存在しています。TLS 1.2に対応していないOSやブラウザで、TLS 1.2のみが有効化されたサイトにアクセスすると、ページを表示することができないどころか、サーバーに接続することができません。

ではTLS 1.2に対応していないブラウザには、具体的にどんな物があげられるのでしょうか。

TLS 1.2非対応の主なブラウザ

  • Google Chrome 29以下
  • Androidブラウザ Android 4.0.4以下(Android 4.1~4.3.1、4.4~4.4.4は既定設定では無効化されている)
  • Firefox 23以下(Firefox 24、25.0.0、25.0.1、26は既定設定では無効化されている)
  • Windows XP、VistaのIE 8以下
  • Internet Explorer Mobile 9以下(Internet Explorer Mobile 10は既定設定では無効化されている)
  • iOS 4以下のモバイルSafari

これらのブラウザでは、TLS 1.2のみを有効化したサイトにはアクセスできません。

そのため、大規模なWEBサービスやWEBサイトではなかなかTLS 1.1以下をブロックすることがし辛い状況にあります。

ではしょぼんブログではどうか

それではしょぼんブログではどうでしょうか? ブログ開設は10月で本格運用をスタートしたのが2017年1月なので、まだ駆け出しの小規模な個人ブログです。

であれば、立ち上げ当初である今のうちにTLS 1.2以外はブロックしてしまえ、と考えたのが2017年2月5日の出来事でした。

しょぼんブログ
1970.01.01
しょぼんブログ
https://syobon.jp/2017/02/05/diabled-tls-1-0/
メテオフォール型開発に負けないよう頑張るエンジニアを応援するブログ

上記の記事でも実際に設定した旨を記載していますが、SSL Server Testでしょぼんブログの確認を行うと、

TLS 1,2

サイト全体の評価としてはA+となっています。これは利用可能なプロトコルをTLS 1.2のみにしていることと、利用可能なcipher suiteを絞っているためです。

TLS 1.2

テスト結果をページ送りしてみると、TLS 1.2以外は全てNOになっていることがわかります。きちんとTLS 1.2しか利用しない設定ができていることがこれで分かります。

TLS 1.2を有効化してからのアクセス数

TLS 1.2
さて、TLS 1.2のみを有効化し、いわゆるレガシーなブラウザからのアクセスを遮断したしょぼんブログですが、アクセス数はどのように変化したのか確認してみました。

計測期間は、2017年2月5日から2017年8月5日とし、ページビュー数の移り変わりを確認してみました。計測期間の始めにバズったこともあり、グラフの傾きが緩やかに見えますが、TLS 1.2のみを有効化したからといって、アクセス数ががた落ちしたということは無さそうです。

これが海外向けのサイトであれば話はまた変わっていたかもしれませんが、日本においては新しいスマートフォンを買い換えるとお得な料金プラン、値引きオプションがあること、iPhoneのシェア率が他国と比べて高水準であること、比較的新しいパソコンを買い換えることが出来る人が多いことなど、海外とは少し変わった事情が異なります。

そのため、そこまでアクセス数に変化を与えることは無いだろうなと、うすうす感じながらここまで来たわけですが、データとしてもどうやらそれが実証されたようですね。

TLS 1.2有効化必要の是非

さてここで話を元に戻しますが、Global Signの言うとおり、TLS 1.2有効化の必要性についてですが、僕個人としては多少の下位互換を犠牲にしてでも有効化すべきだと考えます。

しょぼんブログでは別に商品販売などを行っているわけでは無いので、そこまで気にしなくても良いんじゃないの?と思われるかも知れませんが、お問い合わせフォームを開いて貰うと分かるとおり、名前やメールアドレスなどの個人情報を入力する箇所があるため、通信内容の暗号化は必須だと考えています。

個人ブログでもこうなのですから、大手サイトや大手ECサイトとなると、その必要性はさらに大きくなります。

もちろんTLS 1.2を使ってSSL化したら、それでセキュリティ対策はおしまい!と言うわけにはいきませんが、セキュリティ対策の一部として、TLS 1.2のみの有効化を検討し始める段階なのかもしれません。

Source: トレンドマイクロセキュリティブログ | Global Sign Blog POODLEについて | Global Sign Blog TLS 1.2への以降の必要性

コメント

タイトルとURLをコピーしました