GitHubは2018年2月23日(米国時間)、「Weak cryptographic standards removed · GitHub」において、同日をもってgithub.comおよびapi.github.comから弱いとされる暗号標準の利用を廃止したと伝えた。これまでサポートしてきてこれらの暗号標準は今後利用することはできないとしている。
利用が廃止された暗号標準は次のとおり。
- HTTPSで使われるTLSv1およびTLSv1.1。https://github.comおよびhttps://api.github.comにおけるWebアクセス、API使用、Git接続などで使われていた機能
- github.comへのSSH接続で使われていたdiffie-hellman-group1-sha1
- github.comへのSSH接続で使われていたdiffie-hellman-group14-sha1
GitHubは昨年の時点で、これら暗号標準の利用を終了することを「Discontinue support for weak cryptographic standards|GitHub Enginerring」で発表していた。予定では2018年2月1日に該当する機能の利用を停止するとしていたが、当初の予定から3週間ほど遅れる形でサービスを終了したことになる。
いくつかの暗号標準が現在では安全とは言えないことがすでに知られている。しかし、一度稼働を始めたサービスは、更新されることなく継続して使われることが多い。定期的にこうした標準を見直し、必要に応じて新たな暗号標準の利用へ切り替えていくことが望まれる。
