久々のセキュリティネタ。
2020年になって、いろんなサービスがeolになる。
影響がありそうなところでは、
pythonの2系も終わる。
centos6も終わる。
php7.2も終わる。
windows7も終わった。
そして、いよいよTLS 1.1が推奨でなくなる。
主要なブラウザがサポートしなくなるのも今年の前半までだから時間の問題だ。となると、webサーバでTLS1.2に対応してないと、折角証明書使ったhttpsにしていても、怪しいサイトだよみたいな表示になったりする。
もっとも、httpsにすら対応してないサイトも沢山あるわけで、ブラウザがセキュリティに厳しく動くようになると、そんなサイトは検索されても、情報が盗まれる可能性がありますとかで上位に表示されなくなるかも知れない。
このサイトはhttp2にも対応していて、httpsにももちろん対応しているのだけれど、TLS1.3には対応していない。
残念ながらTLS 1.2どまりなのだ。
そもそもTLS 1.3に対応するには、opensslの1.1.1以上が必要になる。
もっとも、これがリリースされたのは2018年とかなので、まともなサーバ管理をしていれば間違いなく適用されているパッケージだ。
厄介なのはwebサーバのほうで、osの標準リポジトリだと、openssl1.1.1が入っていてもTLS1.3を有効にできるパッケージにアップデートできなかったりする。
残念ながら、ubuntu 18.0.4のnginxもあてはまる。
nginxのリポジトリをaptに追加しないとダメ。
大した手間ではないので、サクッとやってしまいたい。
面倒なので、一足先にTLS1.1を使えなくするというのも、いいかも。
あ、メールの方はどうなんだろう。
これはまた別途調べるか。