Skip to content

TLS 1.0および1.1の廃止

バックグラウンド

Brazeは、TLS 1.0と1.1の両方において、既知の弱いトランスポート・レイヤー・セキュリティ(TLS)暗号を非推奨としている。

この変更は、Brazeのプラットフォームに関連する違反や問題に対応するためではなく、クラス最高のセキュリティとデータ基準を維持し、クライアントとその顧客を積極的に保護するための予防措置として行われるものである。

近年、POODLEHeartbleedLOGJAMなど、TLSとその前身であるセキュア・ソケット・レイヤー(SSL)の両方に関連する多くの体系的なセキュリティ問題が、暗号化されたWebトラフィックを脅かし、インターネットの一部をセキュリティ侵害にさらした。他のテクノロジー企業とともに、Brazeは以前から、攻撃が発見されると弱い暗号化プロトコルや暗号を無効にするアクションをとってきた。たとえば、2014年にはSSLv3のサポートを解除している。

最近では、PCIセキュリティ基準評議会が2015年4月にペイメントカード業界データセキュリティ基準(PCI-DSS)の暗号化関連ガイダンスを発表した。ガイダンスでは、SSL 3.0、TLS 1.0、およびTLS 1.1でサポートされている暗号スイートの一部を、強力な暗号のプロトコルリストから除外し、インターネットユーザーのセキュリティを確保するために、企業がこれらのプロトコルや暗号のサポートを中止することを奨励している。

暗号スイートとは、安全なSSLまたはTLS接続をネゴシエートする際に、暗号化、認証、通信の完全性を提供するアルゴリズムの組み合わせである。ある暗号が破られる可能性があることが発見された場合(現在知られている攻撃があるかどうかにかかわらず)、その暗号は将来の攻撃をイネーブルメントする可能性のある「弱点」を持っているとみなされる。これらのTLS暗号をPCI DSS準拠要件から除外することで、PCI DSS協議会はサービスプロバイダーに対し、クラス最高の暗号化規格のみをサポートするよう求めている。PCI DSS協議会は、TLS 1.0およびTLS 1.1のサポートを停止する暗号化要件への準拠期限を2018年6月30日に設定した。

Brazeの償却プラン

PCI DSS協議会の勧告に準拠するため、Brazeは当社のサービスでサポートするTLSの最小バージョンを引き上げる予定である。私たちのコンプライアンス・プランと、それがあなたのブランドとユーザーに与える潜在的な影響について、より良いアイデアを提供するために、私たちのプランには主に2つの段階があり、注意が必要である:

第1段階:2017年10月1日

BrazeのWebダッシュボードおよびREST APIから、以下の暗号を使用する機能を削除する:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

この変更は、すべての最新のWebブラウザがより安全な暗号をサポートしているため、Brazeダッシュボードにアクセスする顧客への影響はない。ただし、10月1日以降にウェブダッシュボードにアクセスした際にSSL暗号化エラーが発生した場合は、ウェブブラウザを最新バージョンにアップグレードするだけで問題を解決できる。

開発チームは、BRAZEのREST APIを使ったサーバー間通信にこれらの暗号を使用していないことを確認する必要がある。もしそうであれば、BrazeのAPIを引き続き利用するためには、10月1日より前に、より安全な暗号を使用するようにコードを更新する必要がある。しかし、脆弱な暗号を使用している可能性のある旧式のモバイルデバイスのサポートを維持するため、Brazeは、当社のSDKからデータを受信したAPISにおいて、これらの暗号のサポートを継続する。

第2段階だ:2018年5月31日

Brazeは、2018年5月31日にすべてのBrazeサービス(Brazeダッシュボード、REST API、およびSDKと通信するAPIを含む)において、TLS 1.0およびTLS 1.1のサポートを無効にする。また、SDKデータを受け取るAPIに関連して、前のセクションで列挙した暗号のサポートも削除する。つまり、Brazeとの間で行われるすべてのTLS 1.0および1.1通信は、この日付をもって我々のネットワークではサポートされなくなるということだ。

この変更の結果、一部の古い、あるいは時代遅れのモバイルデバイス(おそらくAndroidの初期バージョンを実行しているもの)がBrazeとの通信機能を失い、Brazeへのデータ送信やBrazeからのアプリ内メッセージの受信ができなくなる可能性がある。しかし、この変更が影響するのは、ごく少数の機器に限られると予想している。影響を受けたデバイスは、PCI DSS協議会が設定したTLS 1.0およびTLS 1.1暗号の削除日である1カ月後の2018年6月30日には、PCI準拠のWebサイトやサービスとの通信機能も失うことになる。

アクションプラン

貴社ブランドがBrazeのREST APIを使用している場合、サービスの中断を避けるために、上記のリストまでにBrazeへのすべてのサーバー間コールがTLS 1.2を使用していることを確認するよう、貴社の開発チームに相談すること。Java 7のような一部のプログラミング言語では、デフォルトで古いバージョンのTLSを使用しているため、開発チームはアップグレードされた暗号化要件をサポートするためにコードを変更する必要があるかもしれない。

アップルは2016年末からTLS 1.2を要求しているため、アップルのデバイスはBrazeの非推奨化の影響を受けない。最新のWebブラウザも同様であるため、これらの変更がWeb SDKの使用に影響を与えるとは予想していない。ただし、Android 4.4(KitKat)以下を実行しているAndroidデバイスは、デフォルトでTLS 1.2を使用しない可能性があるため、2018年5月31日までに、Android統合のいずれかを少なくともBraze SDKバージョン2.0.3(特定のデバイスがサポートできる場合、デフォルトでTLS 1.2を使用する)にアップグレードするステップを踏むこと。

最後に、TLS 1.0とTLS 1.1暗号スイートには既知の弱点があるため、すべての顧客のセキュリティを守るために、Brazeが非推奨化計画を早める必要があるような攻撃が将来発生する可能性がある。Brazeは、TLS 1.0および1.1プロトコルに関連するセキュリティの状態および関連する攻撃を監視し、前節で説明したタイムラインを変更するような攻撃を発見した場合は、随時お知らせする。しかし、このような潜在的な影響があるため、開発チームと協力して、BrazeへのAPIコールがTLS 1.2でセキュアであることを確認し、今後数ヶ月以内に最新のAndroid SDKへのアップグレードを計画することを強く推奨する。

「このページはどの程度役に立ちましたか?」
New Stuff!