United States Computer Emergency Readiness Team (US-CERT)は1月5日(米国時間)、「NSA Releases Guidance on Eliminating Obsolete TLS Protocol Configurations|CISA」において、アメリカ国家安全保障局(NSA: National Security Agency)から新しいサイバーセキュリティ情報シートが公開されたと伝えた。これには、古いSSL/TLSプロトコルの設定を削除する方法や推奨される設定方法などがまとめられている。
公開されたサイバーセキュリティ情報シートは次のページに掲載されている。
情報シートに掲載されている主な内容は次のとおり。
- 既に利用が非推奨となっている暗号スイートと鍵交換メカニズムを検出する方法
- 推奨されるTLS設定の説明
- 非推奨となっているTLS設定を使っていた組織に対する推奨される設定の説明
-
Eliminating Obsolete Transport Layer Security (TLS) Protocol Configurations
NSAはTLS 1.2およびTLS 1.3の使用を推奨しており、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1の使用は推奨されていない。Cybersecurity and Infrastructure Security Agency (CISA)は管理者およびユーザに対して上記情報シートをチェックすることを推奨している。
