Google、Android OでHttpsURLConnectionのTLSバージョンをダウングレードする機能を削除
Google は 4 月 11 日、Android の次期メジャーアップデート版「Android O」でセキュリティの強化を目的に、TLS プロトコルでの HTPS 通信(HttpsURLConnection)から使用する TLS バージョンをダウングレードする機能を削除することを明らかにしました。
Android は TLS プロトコルで HTTPS 暗号化通信のハンドシェイクを行う際に、接続先サーバが正しく TLS プロトコルのネゴシエーションを実装していない場合には古い TLS バージョンにダウングレードして接続を再試行する機能を搭載しています。このダウングレード機能が Android O の正式版で削除されるということです。
Google によると、2015 年後半の時点で世界の WEB サーバのうち 0.01% 未満しかこの回避策で通信しないので、もはや必要なくなったとしています。そのため、Android の使用において変更による大きな影響は出ないと言われています。
もちろん、TLS プロトコルのネゴシエーションを正しく実装している WEB サーバにはバージョンをダウングレードすることなく TLS 接続が可能になります。
Source : Google
関連記事
週間ランキング
None Found