様々な組織や団体がTLSを安全に利用するためのドキュメントを出してたりする。
IETFでも2015年にRFC7525 「Recommendations for Secure Use of TLS and DTLS」として、使用する上での推奨事項をまとめている。
それについての詳細は、urushima先生の記事を見ていただくと良いと思う。
blog.livedoor.jp
上記のRFC7525から5年が経ち、その間にRFC 8446 TLS1.3の発行などもありました。そのため、IETFではこのRFC7525の改定作業が開始されました
RFC7525bis
IETFのUTA (Using TLS in Applications) WGでは、RFC7525の改訂版として、次のドキュメントをすでにWG Itemとして扱っている
ここでは、簡単にRFC7525からの変更点について紹介する
- TLS1.0とTLS1.1の利用を"SHOULD NOT"から"MUST NOT"に変更
- TLS1.3/DTLS1.3の利用をSHOULD で追加
- TLS1.2ではSCSVの実装がMUSTに
- TLS Encrypted Client Helloへの言及を追加
まだ、Draft 00 ということもあって、差分もあっさり目。
