「Chrome 56の暗号化処理アップデートにより、BlueCoatを使う数千のマシンが接続不能に」

news.softpedia.com

Google Chromeのバージョンが56になったことで、シマンテックのBlueCoatなどのプロキシ環境下で、通信が不可能になりました。この製品は、学校でも使われているのですが、米国の学校ではChromeBookが人気なため、ブラウザが事実上Chrome固定。このため、アップデートにあわせて外部接続不能、という事態に陥ったところもあるようです。

これは、Chrome 56が暗号化規格としてTLS1.3「のみ」を許可するようになったためです。BlueCoatはTLS1.2までしか対応しておらず、通信そのものが不可能になってしまったのです。

対策は、ブラウザごとに「chrome://flags/#ssl-version-max」にアクセスして、「デフォルト」を「TLS 1.2」に変更することです。

ところで、TLS1.3のドラフトはGitHub上にありますが、前掲記事にもある通り、この規格はまだ策定中（ドラフト）です。

TLS1.3については、2016年12月23日に書かれた次の記事に、「9月の」状況が書いてあります。

qiita.com

TLS1.3は、IETFでInternet-Draftとして発行されるものだけでもほぼ月1回、githubで公開されるものに至っては毎日、ちょっとずつ更新がかかっている状況

実際、日本で3月3日朝にアクセスした時は「March 02」となってました。

ちょっと、この状態での「TLS1.3以外は認めない」という対応は、Googleさんやりすぎじゃないですかねえ、と思わざるを得ません。ドラフトが日々変わる状況ですから、「TLS 1.3」といっても認識に相違が生じることもあるでしょう。

セキュリティのために可用性が失われる、というのはセキュリティ界隈の人にありがちな発想ですが、社会インフラ化している現在のインターネット上では行き過ぎに思えます。そこまでセキュリティを重視するなら、GoogleのAndroidの脆弱性が多くの端末が未対応な件だって、（たとえGoogleで確認できた実害が少ないといっても、そしてメーカーやキャリアの問題があっても）対応する責任があるんじゃないでしょうか。