Googlechromeの新バージョン「39」が登場。SSL関連のセキュリティ対応も実施。
Googleは最新版のchromeブラウザ「39」を発表しました。
ブラウザといえば、SSLv3のセキュリティホールに対する対応をじっししてゆくと発表がありましたが、どうなったのでしょうか?CNETが記事にしているので紹介します。
Googleは米国時間11月18日、ウェブブラウザの最新安定版「Google Chrome 39」(バージョン39.0.2171.65)を公開した。「Google Chrome」の最新版からは、安全性の低い旧バージョンのSSLを積極的に廃止し、使用されているバージョンに関するさらに詳しい情報を提供しようという同社の姿勢がうかがえる。
これは10月にPOODLE脆弱性が見つかったことを受けた動きだが、SSLとTLSの旧バージョンに問題があることはかなり以前からよく知られていた。GoogleのAdam Langley氏は10月のブログ投稿で、「・・・AEADモードを使用するTLS 1.2より前のすべてのバージョンの暗号は壊れている」と述べている。
Langley氏はそれと同じブログの中で、GoogleがSSL/TLSサポートに関する作業を強化する計画であることを発表した。同氏は、POODLE脆弱性の悪用につながるSSLv3へのフォールバック機能のサポートをデフォルトで無効にする、Chromeパッチを直ちに作成した。このパッチはこの度のバージョン39に適用されている(奇妙なことに、この変更についてはまったく発表がなく、変更ログにも記載がないが、Langley氏がツイートでこれを発表した)。
またLangley氏は、バージョン40においてSSLv3のサポートを無効にする予定であり、「(前略)ゆくゆくは、SSLv3クライアントサポートをコードから削除する予定」であることも発表した。
「Chrome 39」では、OpenSSLからフォークした独自の「BoringSSL」も導入されている。同社は引き続き、OpenSSLとLibreSSLにコードを提供し、情報を共有する予定である。どの機能がChromeに組み込まれるかを、より細かく制御できるようにすることがその目的だ。Langley氏は、将来的にはBoringSSLを、「Android」や社内プロジェクトで使用する計画である。
ChromeのChrome Canary 41には、興味深い外観上の変更がいくつか加えられている。Canaryは、定義上は実験的なバージョンであるため、このバージョンがStable Channelで提供される際には、内容が変更されたり、完全に消去されたりする可能性がある。
このCanaryビルドにおいてGoogleは、SSL/TLSの実装を表現する単語として「obsolete」(旧式)と「modern」(最新式)という語を使用し始めている。
この単語が現れるのは、ユーザーがSSL/TLSサイトの接続状況を調べる場合のみなので、普通のユーザーが目にするものではないが、将来的には、さらに目につく単語となる可能性がある。