Skip to content

TLS 1.0および1.1の廃止

バックグラウンド

Brazeは、PCIセキュリティ基準審議会の勧告に従い、TLS 1.0と1.1の両方において、既知の脆弱なトランスポート・レイヤー・セキュリティ(TLS)暗号を非推奨としています。この非推奨化は2018年5月に完了する2段階で実施されます。

この変更は、Brazeのプラットフォームに関連する侵害や問題への対応としてではなく、クラス最高のセキュリティおよびデータ基準を維持し、顧客とその消費者をプロアクティブに保護するための予防措置として行われます。

近年、POODLEHeartbleedLOGJAMなどをはじめ、TLSとその前身であるセキュア・ソケット・レイヤー(SSL)の両方に関連する多くの体系的なセキュリティ問題が、暗号化されたWebトラフィックを脅かし、インターネットの一部をセキュリティ侵害にさらしました。他のテクノロジー企業とともに、Brazeは以前から、攻撃が発見されると脆弱な暗号化プロトコルや暗号を無効にする措置をとってきました。たとえば、2014年にはSSLv3のサポートを削除しています。

最近では、PCIセキュリティ基準審議会が2015年4月にペイメントカード業界データセキュリティ基準(PCI-DSS)の暗号化関連ガイダンスを発表しました。このガイダンスでは、SSL 3.0、TLS 1.0、およびTLS 1.1でサポートされている一部の暗号スイートを強力な暗号のプロトコルリストから除外し、インターネットユーザーのセキュリティを確保するために、企業がこれらのプロトコルや暗号のサポートを中止することを推奨しています。

暗号スイートとは、安全なSSLまたはTLS接続をネゴシエートする際に、暗号化、認証、通信の完全性を提供するアルゴリズムの組み合わせです。ある暗号が破られる可能性があることが発見された場合(現在知られている攻撃があるかどうかにかかわらず)、その暗号には将来の攻撃を可能にする「弱点」があるとみなされます。これらのTLS暗号をPCI DSS準拠要件から除外することで、PCI DSS審議会はサービスプロバイダーに対し、クラス最高の暗号化規格のみをサポートするよう求めています。PCI DSS審議会は、TLS 1.0およびTLS 1.1のサポートを停止する暗号化要件への準拠期限を2018年6月30日に設定しています。

Brazeの廃止計画

PCI DSS審議会の勧告に準拠するため、Brazeは当社サービスでサポートするTLSの最小バージョンを引き上げる予定です。コンプライアンス計画と、それがブランドおよびユーザーに与える潜在的な影響について、よりよくご理解いただくために、計画には主に2つのフェーズがあります。

フェーズ1:2017年10月1日

Brazeは、BrazeのWebダッシュボードとREST APIから以下の暗号を使用する機能を削除します。

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

すべての最新のWebブラウザはより安全な暗号をサポートしているため、この変更はBrazeダッシュボードにアクセスする顧客に影響を与えるものではありません。ただし、10月1日以降にWebダッシュボードにアクセスした際にSSL暗号化エラーが発生した場合は、Webブラウザを最新バージョンにアップグレードするだけで問題を解決できます。

開発チームは、BrazeのREST APIとのサーバー間通信にこれらの暗号を使用していないことを確認する必要があります。使用している場合は、BrazeのAPIを引き続き利用するために、10月1日より前により安全な暗号化暗号を使用するようコードを更新する必要があります。ただし、脆弱な暗号を使用している可能性のある古いモバイルデバイスへのサポートを維持するため、BrazeはSDKからデータを受信するAPI上でこれらの暗号のサポートを継続します。

フェーズ2:2018年5月31日

Brazeは、2018年5月31日に、Brazeダッシュボード、REST API、およびSDKと通信するAPIを含むすべてのBrazeサービスで、TLS 1.0とTLS 1.1のサポートを無効にします。また、SDKデータを受信するAPIに関連して、前のセクションに記載されている暗号のサポートも削除します。つまり、この日付をもって、Brazeとの間で行われるすべてのTLS 1.0および1.1通信は当社のネットワークでサポートされなくなります。

この変更の結果、一部の古いまたは時代遅れのモバイルデバイス(おそらくAndroidの初期バージョンを実行しているもの)がBrazeとの通信機能を失い、Brazeへのデータ送信やBrazeからのアプリ内メッセージの受信ができなくなる可能性があります。ただし、この変更はごく少数のデバイスにしか影響しないと予想されます。影響を受けたデバイスは、PCI DSS審議会がTLS 1.0およびTLS 1.1暗号の削除日として定めた1か月後の2018年6月30日には、PCI準拠のWebサイトやサービスとの通信機能も失うことになります。

アクションプラン

ブランドでBrazeのREST APIを利用している場合は、サービスの中断を避けるために、開発チームに相談し、記載された日付までにBrazeへのすべてのサーバー間呼び出しでTLS 1.2が使用されるようにしてください。Java 7など一部のプログラミング言語では、デフォルトで古いバージョンのTLSが使用されているため、開発チームはアップグレードされた暗号化要件をサポートするためにコードを変更する必要がある場合があります。

Appleは2016年末からTLS 1.2を要求しているため、AppleデバイスはBrazeの廃止計画の影響を受けません。最新のWebブラウザについても同様であるため、これらの変更がWeb SDKの使用に影響を与えることはないと予想されます。ただし、Android 4.4(KitKat)以下を搭載しているAndroidデバイスでは、デフォルトでTLS 1.2が使用されない可能性があります。そのため、2018年5月31日までに、Androidインテグレーションを少なくともBraze SDKバージョン2.0.3(特定のデバイスがサポートできる場合はデフォルトでTLS 1.2を使用します)以上にアップグレードするステップを実行してください。

最後に、TLS 1.0とTLS 1.1暗号スイートには既知の弱点があるため、すべての顧客のセキュリティを保護するために、Brazeが廃止計画を早める必要があるような攻撃が将来発生する可能性があります。Brazeは、TLS 1.0および1.1プロトコルに関連するセキュリティの状態および関連する攻撃を監視し、前のセクションで説明したタイムラインを変更するような攻撃が判明した場合は随時お知らせします。ただし、この潜在的な影響のため、BrazeへのAPIコールがTLS 1.2で保護されていることを確認し、今後数か月のうちに最新のAndroid SDKへのアップグレードを計画するよう、開発チームと協力することを強く推奨します。

New Stuff!