TLSプロトコルバージョン診断ツール
ドメイン名を入力するだけでTLS 1.0〜1.3の各バージョンへの対応状況を診断します。非推奨の古いバージョンが有効なままになっていないか、サーバー設定を無料でチェックできます。
使い方のヒント
- PCI DSS(クレジットカード業界のセキュリティ基準)は2018年以降、TLS 1.0/1.1を「セキュリティが不十分なプロトコル」として無効化を必須にしています。決済を扱うサイトは特に確認しておきましょう。
- 本ツールは証明書の有効期限や発行者を確認するSSL証明書チェッカーとは異なり、サーバーがどのプロトコルバージョンで接続を受け付けるかという「設定」そのものを診断します。両方を併用すると安心です。
- TLS 1.0/1.1が有効なままでも通常のアクセスがすぐに止まるわけではありませんが、主要ブラウザは既に既定で拒否する設定に移行しつつあり、将来的な互換性リスクとして早めの無効化が推奨されます。
- 逆にTLS 1.2・1.3のどちらも無効化されている場合は設定ミスの可能性が高く、最新ブラウザからの接続自体に支障が出るためこちらは最優先で対処すべき問題です。
- 共有サーバーやCDN経由でサイトを運用している場合、TLSバージョンの設定はサーバー管理者やホスティング事業者側で行うため、診断結果に問題があれば契約先のサポートに問い合わせましょう。
よくある質問
余談ですが ― TLSバージョンの進化と脆弱性の歴史
TLSの前身であるSSLは1990年代半ばにNetscape社が開発したが、SSL 2.0・3.0にはいずれも設計上の欠陥があった。1999年に標準化されたTLS 1.0はSSL 3.0の後継として登場したものの、実装によってはCBCモード暗号の初期化ベクトルの扱いに不備があり、2011年に発表されたBEAST攻撃によってその弱点が実証された。
さらに2014年には、SSL 3.0の設計上の欠陥を突くPOODLE攻撃が発表され、これを機にSSL 3.0だけでなく設計思想の近いTLS 1.0/1.1についても危険視する声が急速に高まった。クレジットカード業界のセキュリティ基準であるPCI DSSは2015年にTLS 1.0の使用を段階的に禁止する方針を示し、2018年6月末を最終期限としてTLS 1.1以下からの完全移行を業界標準として義務付けた。
2018年に標準化されたTLS 1.3は、こうした過去の脆弱性への反省を踏まえ、脆弱性の温床になりやすい古い暗号スイート(RC4・CBCモードのブロック暗号等)を仕様から排除し、ハンドシェイクの往復回数も削減した。現在では多くの主要ブラウザ・サーバーソフトウェアがTLS 1.3をデフォルトで有効化しており、TLS 1.0/1.1のサポートを既に打ち切っている。
一方で、世界には今なお古いシステムに依存せざるを得ないサーバーも存在し、TLS 1.0/1.1が有効なまま放置されているケースは珍しくない。自分では気づきにくいサーバーの設定状況を手軽に可視化できることが、本ツールのような診断ツールの存在価値と言える。