Internet Engineering Task Force (IETF)はこのほど、「RFC 7568 - Deprecating Secure Sockets Layer Version 3.0」において、RFC 6101で定められているSecure Sockets Layer version 3.0 (SSLv3)はもはやセキュアとは言えないとして、使わないよう呼びかけた。代替候補としては、RFC 5246で定められているTransport Layer Security (TLS) 1.2が安全だと説明している。
IETFはTLSのどのバージョンを使う場合でも、SSLv3よりは安全であるとしたうえで、できればより高いバージョンを利用することを推奨している。また、クライアントはSSLv3での通信を喚起するようなやり取りをしてはならず、サーバ側もSSLv3通信へ結びつくようやプロトコルのやり取りをしてはならないとしている。
SSLv3がもはやセキュアなプロトコルとは言えないことは広く知られているが、今回、明示的に使用禁止を求める内容のRFCが標準化されたことで、これまでよりもSSLv3の利用停止が進む可能性が高くなったと言える。一度稼働を始めたシステムは予算や運用などの事情から、SSLv3のまま通信を提供しているものがある。RFCとして標準化されたことでSSLv3の使用廃止が進むことが期待される。
(後藤大地)