あきネット

フリーソフトウェアやオープンソースをはじめ、コンピューターやインターネットに関するTIPSや話題を扱います

北のまちから南のまちへと素敵な何かを届けます。
それは、六花かもしれないし、ナナカマドの実かもしれないし、雪の下キャベツかもしれません。

TLS 1.3 は、旧バージョンをバッサリ切り捨てた

Lighttpd に Let's Encrypt の証明書をインストールしたら、 Lighttpd に Firefox で繋げないエラーが出てしまいました。
Lighttpd のバグなんですが。


安全な接続ができませんでした

・受信したデータの真正性を検証できなかったため、このページは表示できませんでした。

・この問題をウェブサイトの管理者に連絡してください。

意味不明だわ



TLS 1.2 以前の TLS や SSL では、新しいバージョンで接続不可なときは旧バージョンにフォールバック(ダウングレード)して再接続する機能がありました。


TLS 1.3 では、再接続をしません。


Lighttpd 1.4.51 だと、 TLS 1.3 で接続しようとしつつも、実際にはうまく繋げないバグがあります。

TLS 1.3 の規格では、TLS 1.3 で接続可能なはずなのにうまくいかなければ、フォールバックせずに切断しろと定められています。

Firefoxはこの規格に正しく準拠しているため、Lighttpd との接続をブツッと切ってしまいます 😥
ちなみにGoogle Chrome などの Chromium 系で試してみたら、 TLS 1.2 で繋がりました 😅

TLS 1.3 は、以前は TLS 2.0 にする気だったようです。互換性をバッサリ切り捨てた完全新規のものにしたかったようです。
しかし妥協の産物で、 TLS 1.3 という中途半端なものになりました。
その帰結ですね。
各者の思惑がぶつかり合っている感です。

Mozilla であれ、 Google であれ、 Facebook などであれ、既存の旧規格を改めたいとは思っているわけでしょうが、
いかに自分のアイデアを標準に盛り込もうかと駆け引きというか既成事実化をねらっているのですよね。
各者とも、セキュリティ向上や高速化は、したいのは同じなんですけどね。

TLS 1.3 は、提案段階からそれなりに長期間経ったはずなのですが、確実に実装されるのにはちょっとかかりそうですね。OpenSSL も 1.1.0 で TLS 1.3 を実装したのですが、それが充分に試されていなかったりしますし。
Lighttpd については次バージョンで直るはずです。