OpenSSL 1.1.1のリリースとTLS 1.3サポート

皆様は自分に関連しているWebサイトは常時SSL化したサイトでしょうか。
先日、OpenSSLの開発チームが、「OpenSSL」の新しいメジャーバージョンをリリースしました。

OpenSSLとは

OpenSSLというのは、SSL（Secure Sockets Layer）とTLS（Transport Layer Security）という、
インターネット上で標準的にされている暗号通信のプロトコル機能を実装したオープンソースのソフトウェアのことを指します。

OpenSSLは多くのUNIX（MacOSⅩはLibreSSL）やLinuxに入っており、非常に多くの方が使っているソフトウェアです。
オープンソースのソフトウェア故に、脆弱性のニュースを聞くこともあります。

過去のOpenSSL

2014年にOpenSSLに関する重大な脆弱性が発見されました。
パスワードや暗号化の秘密鍵などの重要情報が盗まれてしまうという事象が発生してしまったためです。
通称「Heartbleed」と呼ばれているこの脆弱性ですが、どうやら2017年時点では約20万台のサーバーやサービスで放置され続けているという話もありますので、まだ被害が出てくる可能性もあるものです。

TLS1.3について

YAHOO! JAPAN のサイトを確認してみます。 すると、以下にはTLS 1.2という記述があります。

今まではTLS1.2 というバージョンがセキュリティ保護されていると言えたのですが、
登場から10年を経過したTLS1.2 にも脆弱性を生むような欠点がありました。
そこで、そのような脆弱性の反省からとても安全な新しい暗号化プロトコルTLS1.3として登場しました。

また、通信の高速化にも寄与できるようで、ZDNet Japanの記事によると、

TLS 1.3ではクライアントとサーバ間のパケット往復回数が減るほか、ゼロラウンドトリップ（0-RTT）データ（early data）が導入されていることで通信の高速化に期待できる。

ということです。
ラウンドトリップとは、TCPでネットワーク上の相手側ホストからリクエストの応答が戻ってくるまでの時間のことです。これは、ネットワークの応答速度を左右する重要な指標となるため重要なものです。

最後に

セキュリティ強化とパフォーマンス向上という様々なメリットを兼ね備えた新プロトコル『TLS1.3』の話題がこれから増えていくのではないでしょうか。 同時に、TLS1.3を正式サポートしたOpenSSL1.1.1についての話題も注目です。