Use of deprecated TLS/SSL protocol version
非推奨のTLS/SSLプロトコルバージョンの使用
説明
SSL/TLSファミリには、SSL v2、SSL v3、TLS v1.0、TLS v1.1、TLS v1.2、およびTLS v1.3の6つのプロトコルがあります。
- SSL v2は安全ではないため、使用してはなりません。このプロトコルバージョンは、DROWN攻撃を使用してRSAキーや同じ名前のサイトを攻撃する可能性があります。
- SSL v3は、SSLv3のPOODLE攻撃のため、HTTPで使用する場合は安全ではありません。このプロトコルは、他のプロトコルと併用すると脆弱であると見なされます。プロトコルは非推奨であり、使用してはなりません。
- TLS v1.0およびTLS v1.1は、BEAST攻撃の対象となるレガシープロトコルです。最新の実装ではいくつかの緩和策が導入されていますが、プロトコルには依然として既知の脆弱性があり、2020年1月からPCI DSSやブラウザで非推奨となっています。
- TLS v1.2およびv1.3には、セキュリティ上の問題は知られていません。
推奨事項
TLS v1.2またはTLS v1.3は、最新の認証付き暗号化を提供するため、サポートされる主要なプロトコルとする必要があります。
リンク
標準
- OWASP_ASVS_L1:
- V9_1_3
- OWASP_ASVS_L2:
- V9_1_3
- OWASP_ASVS_L3:
- V9_1_3
- PCI_STANDARDS:
- REQ_2_2
- REQ_4_2
- REQ_6_4
- REQ_11_3
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_6_7
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- HIPAA_CONTROLS:
- SECURITY252
- SECURITY212
- SECURITY213
- SECURITY255
- SECURITY258