TLSプロトコルバージョン診断ツール

ドメイン名を入力するだけでTLS 1.0〜1.3の各バージョンへの対応状況を診断します。非推奨の古いバージョンが有効なままになっていないか、サーバー設定を無料でチェックできます。

使い方のヒント

  • PCI DSS(クレジットカード業界のセキュリティ基準)は2018年以降、TLS 1.0/1.1を「セキュリティが不十分なプロトコル」として無効化を必須にしています。決済を扱うサイトは特に確認しておきましょう。
  • 本ツールは証明書の有効期限や発行者を確認するSSL証明書チェッカーとは異なり、サーバーがどのプロトコルバージョンで接続を受け付けるかという「設定」そのものを診断します。両方を併用すると安心です。
  • TLS 1.0/1.1が有効なままでも通常のアクセスがすぐに止まるわけではありませんが、主要ブラウザは既に既定で拒否する設定に移行しつつあり、将来的な互換性リスクとして早めの無効化が推奨されます。
  • 逆にTLS 1.2・1.3のどちらも無効化されている場合は設定ミスの可能性が高く、最新ブラウザからの接続自体に支障が出るためこちらは最優先で対処すべき問題です。
  • 共有サーバーやCDN経由でサイトを運用している場合、TLSバージョンの設定はサーバー管理者やホスティング事業者側で行うため、診断結果に問題があれば契約先のサポートに問い合わせましょう。

よくある質問

TLS 1.0は1999年に標準化された古いプロトコルで、BEATやPOODLEといった暗号アルゴリズムの脆弱性を悪用する攻撃手法が発見されています。PCI DSSは2018年6月末までにTLS 1.0/1.1からの移行を義務付け、主要ブラウザも段階的にサポートを打ち切っています。

本ツールにドメイン名を入力するだけで、TLS 1.0〜1.3の4バージョンそれぞれについて実際にハンドシェイクを試行し、接続の可否を一覧表示します。openssl コマンド等の専門知識がなくても手軽に確認できます。

2010年代半ば以前の非常に古いOS・ブラウザ(Windows XP標準ブラウザ等)からはアクセスできなくなる可能性がありますが、現行の主要ブラウザ・OSはすべてTLS 1.2以降に対応済みのため、実運用上の影響は限定的です。

TLS 1.3は2018年に標準化された最新バージョンで、ハンドシェイクの高速化と暗号スイートの簡素化により安全性・パフォーマンスの両面で優れています。ただし普及済みのTLS 1.2にも既知の深刻な脆弱性はなく、両方を有効にして新しいクライアントには1.3を、古いクライアントには1.2を使わせる運用が一般的です。

本ツールはプロトコルバージョンの対応状況のみを診断します。証明書の有効期限・発行者・SAN等を確認したい場合は、同カテゴリーのSSL証明書チェッカーをご利用ください。
ツールくん

余談ですが ― TLSバージョンの進化と脆弱性の歴史

TLSの前身であるSSLは1990年代半ばにNetscape社が開発したが、SSL 2.0・3.0にはいずれも設計上の欠陥があった。1999年に標準化されたTLS 1.0はSSL 3.0の後継として登場したものの、実装によってはCBCモード暗号の初期化ベクトルの扱いに不備があり、2011年に発表されたBEAST攻撃によってその弱点が実証された。

さらに2014年には、SSL 3.0の設計上の欠陥を突くPOODLE攻撃が発表され、これを機にSSL 3.0だけでなく設計思想の近いTLS 1.0/1.1についても危険視する声が急速に高まった。クレジットカード業界のセキュリティ基準であるPCI DSSは2015年にTLS 1.0の使用を段階的に禁止する方針を示し、2018年6月末を最終期限としてTLS 1.1以下からの完全移行を業界標準として義務付けた。

2018年に標準化されたTLS 1.3は、こうした過去の脆弱性への反省を踏まえ、脆弱性の温床になりやすい古い暗号スイート(RC4・CBCモードのブロック暗号等)を仕様から排除し、ハンドシェイクの往復回数も削減した。現在では多くの主要ブラウザ・サーバーソフトウェアがTLS 1.3をデフォルトで有効化しており、TLS 1.0/1.1のサポートを既に打ち切っている。

一方で、世界には今なお古いシステムに依存せざるを得ないサーバーも存在し、TLS 1.0/1.1が有効なまま放置されているケースは珍しくない。自分では気づきにくいサーバーの設定状況を手軽に可視化できることが、本ツールのような診断ツールの存在価値と言える。