Japan
このブログでは、Google から開発者のみなさま向けの情報をいち早くお届けします。
Android O の HttpsURLConnection で安全でない TLS バージョンのフォールバックを廃止
2017年5月1日月曜日
この記事は ソフトウェア エンジニア、Tobias Thierer による Android Developers Blog の記事 "
Android O to drop insecure TLS version fallback in HttpsURLConnection
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
TLS バージョンのフォールバックは安全ではありません。セキュリティ改善のため、Android O の
HttpsURLConnection
からこの機能が削除されています。
変更点とその理由
TLS バージョンのフォールバックは、HTTPS スタックの互換性維持のための回避策で、TLS プロトコルのバージョン ネゴシエーションが正しく実装されていないサーバーに接続するために使われます。以前のバージョンの Android では、最初の TLS ハンドシェイクがある一定のパターンで失敗した場合、HttpsURLConnection が新しいバージョンの TLS プロトコルを無効化してハンドシェイクのリトライを行います。Android O では、このリトライは行われません。TLS プロトコルのバージョン ネゴシエーションが正しく実装されたサーバーに接続する場合は、この変更による影響はありません。
この回避策を削除するのは、TLS プロトコルのバージョン ダウングレードに対する保護が無効化されることにより TLS に脆弱性が生まれるためです。2015 年末時点で、この機能を必要としているウェブサーバーは 0.01% 未満であるため、この回避策はもう必要ありません。
影響を受けるアプリを確かめる方法
大半のアプリは、この変更による影響を受けません。それを確かめるもっとも簡単な方法は、
Android O Developer Preview
でアプリをビルドしてテストすることです。以下に該当する場合、Android O アプリの HTTPS 接続は影響を受けません。
対象のウェブサーバーが最新版の Chrome または Firefox で動作する場合。この場合、ウェブサーバーで TLS プロトコルのバージョン ネゴシエーションが正しく実装されています。TLS バージョンのフォールバックのサポートは、Firefox 37(2015 年 5 月)および Chrome 50(2016 年 4 月)で削除されています。
HttpsURLConnection を使わずに構築されているサードパーティー製の HTTP ライブラリを使っている場合。サードパーティー製ライブラリを使う場合は、プロトコルのフォールバックを無効にすることをおすすめします。たとえば、OkHttp バージョン 3.6 以上の場合、OkHttpClient を ConnectionSpec.MODERN_TLS のみを使うように設定できます。
影響を受ける場合の対応方法
アプリで TLS バージョンのフォールバックが必要な場合、その HTTPS 接続はダウングレード攻撃に対する脆弱性の影響を受けることになります。これを修正するには、サーバーの運営者に連絡する必要があります。すぐに対応できない場合は、回避策として TLS バージョンのフォールバックに対応したサードパーティー製 HTTP ライブラリを使うことができます。ただし、この方法はアプリの TLS セキュリティを弱めることになるので、注意が必要です。互換性の問題を見つけるために、Android O Developer Preview でアプリのテストを行ってください。
Posted by
Takeshi Hagikura - Developer Relations Team
コメントを投稿
ラベル
#DevFest16
1
#hack4jp
3
A4A
2
Action on Google
1
Addy Osmani
1
ADK
2
AdMob
23
Ads
10
Agency
1
ALPN
1
AMP
32
AMP Cache
3
Analytics
9
Andorid
10
Android
209
Android Auto
1
Android Design Support Library
1
Android Developer Story
3
Android N
18
Android O
2
Android Pay
1
Android Studio
17
Android Support Library
4
Android Things
2
Android TV
8
Android Wear
23
androidmarket
3
Angular 2
2
AngularJS
2
API
23
APIExpert
45
apk
2
app engine
21
App Indexing
7
App Invites
6
AppCompat
2
Apps Script
7
aprilfool
3
ArtTech
1
Associate Android Developer Certificate
1
Audio
3
Auth Code
1
Authentication
7
AuthSub
2
Autotrack
2
Awareness API
1
Beacons
6
BigQuery
9
Billing
1
BLE
4
Blink
1
blogger
1
Brillo
1
Brotli
1
Budou
1
Calendar
1
Cardboard
4
Career
1
Case Study
1
chrome
74
Chrome Custom Tab
1
Chrome Dev Summit
1
chrome extension
4
Chrome for Android
2
Chrome for iOS
2
Chrome OS
2
Chromebook
2
Chromecast
7
chromewebstore
6
Chromium
5
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
8
Cloud Functions
2
Cloud PubSub
1
Cloud Storage
1
Cloud Test Lab
2
CocoaPods
1
codejam
5
codelab
2
compute engine
3
Context
1
Crash Reporting
1
Dart
2
DataCenter
1
Daydream
4
Deep Learning
1
Demo Party
1
Design Sprint
3
DesignBytes
1
DevArt
3
DevBytes
6
Developer
14
Developer Console
4
Developer Preview
4
Developer Relations
2
DevFest
7
DevFestX
3
devtools
3
DirectShare
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
Dynamic Links
1
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
egypt
1
English
2
ES2015
1
ES2016
1
ES6
2
ES7
1
Firebase
64
Firebase Admin SDK
1
Firebase Analytics
7
Firebase Auth
1
Firebase Cloud Messaging
6
Firebase Database
5
Firebase Libraries
1
Firebase Notifications
1
Firebase Remote Config
4
Flash
1
font
3
G Suite
7
game
17
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
12
Geo
38
Gingerbread
1
GLIDE
5
Gmail
2
Gmail API
2
Go
1
golang
4
goo.gl
1
Google
5
Google Analytics
1
Google Apps
7
Google Apps Script
3
Google Assistant
1
Google Cast
8
Google Cloud
1
Google Cloud Messaging
10
Google Cloud Platform
6
Google Code-in
1
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
1
Google Drive
4
Google Fit
2
Google for Mobile
1
Google for Work
1
Google Maps
44
Google Play
42
Google Play Game Services
8
Google Play Services
19
Google Plus
14
Google Search
6
Google Sheets API
1
Google Sign-In
12
Google Slides API
3
Google Summer of Code
1
Google Tag Manager
1
Google Trust Services
1
Google+
2
Googleapps
10
GoogleGames
1
GoogleI/O
27
GoogleLabs
1
GoogleTV
1
Gradle
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
6
Hosting
2
HTML5
17
HTML5Rocks
1
HTTP/2
5
HTTPS
7
ID Token
1
Identity
13
Identity Toolkit
1
Ignite
4
IME
10
Instant Apps
1
intern
2
Invites
1
iOS
15
IoT
3
IPv6
1
Issue Tracker
1
Japanese Input
1
JavaScript
5
K-12
1
Key Transparency
1
Knowledge Graph
1
l10n
8
LINE
1
Lollipop
10
Machine Learning
3
Marshmallow
10
Material
1
Material Design
21
MDL
1
MIDI
2
Mobile
12
Mobile Bootcamp
4
Mobile Sites certification
1
Mobile Vision
3
mod_pagespeed
1
monetize
3
Mozc
14
Music
1
NativeDriver
2
NativeScript
1
ndk
1
Nearby
4
Nexus
2
Nexus S
1
NFC
1
Node.js
2
Noto CJK
1
NPAPI
2
NPN
1
oauth
9
OpenGL
4
OpenID
3
OpenID Connect
3
OpenSocial
1
opensource
16
Optimization
1
Payment
2
People API
1
Performance
8
PersonFinder
1
Physical Web
3
Place Picker
1
Player Analytics
4
Policy
3
Polymer
7
Progressive Web Apps
11
project hosting
1
Promise
1
Promo code
1
Protocol Buffers
1
PRPL
1
publicdata
1
Push API
1
Push Notification
3
QUIC
1
RAIL
1
React
1
React Native
2
Realtime Database
3
Redux
1
Remote Config
3
Remote Display API
1
Rewarded Video Ads
2
Runtime Permission
1
Sample Code
2
Santa Tracker
1
schema.org
1
security
23
Service Worker
3
SHA-1
1
sketchup
1
SmartLock for Passwords
4
social
4
SPDY
3
speak2tweet
1
Spreadsheet
1
startup
3
Storage
2
streetview
3
Study Jams
3
Swift
1
SwiftShader
1
Task
4
techtalk
12
TensorFlow
3
test
3
Test Lab
3
ToS
1
Transliteration
1
Twitter
1
Udacity
16
Unity
3
UX
1
V8
2
VP9
1
VR
8
Vulkan
2
Watch Face
2
wave
2
Weave
1
Web
9
Web Animations
1
Web Components
5
Web Manifest
1
WebAssembly
1
WebGL
1
WebMusic
4
WTM
3
Xcode
1
YouTube
15
YouTube API
1
インタビュー
1
コードサンプル
1
プライバシー
1
言論の自由
1
節電
3
東日本大震災
9
日本語入力
40
ブログ アーカイブ
2017
5
4
3
2
1
2016
12
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Google
on
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"
