先週の金曜日(米国時間8/10)に、Internet Engineering Task Force(IETF)はTLS 1.3をリリースした。これはWebのセキュリティプロトコルTLS 1.2のメジャーアップデートで、HTTPS接続による暗号化を扱うレイヤなど多くのセキュリティ機能がこのプロトコルで定義されている。
今回のアップデートで、セキュリティが向上するとともにスピードもやや上がる。それはブラウザーとサーバーがセキュリティの設定を折衝するときに必要とされるラウンドトリップの回数を減らしたからだ。そしてMozillaの今日(米国時間8/13)の発表によると、Firefoxは現バージョンがすでにTLSの新しい規格をサポートしている。Chromeも、バージョン65から(初期のドラフトにより)新しいプロトコルをサポートしている。
TLS 1.3は策定にかなりの年月を要し、前バージョンのローンチから10年かかっている。TLS 1.2に問題があることは広く知られていたが、それらは主に実装のレベルの問題で、しかも遍在的だったためにハッカーの餌食となり、また悪名高い脆弱性バグHeartbleedのような傷口を広げた。しかしそれだけではなく、TLS 1.2のアルゴリズムの一部も、攻撃が成功されてしまった。
そこで当然ながらTLS 1.3は、現代的な暗号化方法へのアクセスにフォーカスしている(Cloudflareの連中がその技術的詳細を書いている)。
これはユーザーにとってはWebがより安全になることであり、また暗号化の方法に関するブラウザーとサーバーの折衝がはやくなるぶん、Webアクセスもややはやくなる。
TLS 1.3をすでにサポートしているFacebookは、トラフィックの半分近くが新しいプロトコルでサーブされている、という。GoogleやCloudflareも、サポート済みだ。
