脆弱性が確認されているTLS1.0/1.1を用いたKARTEへの全リクエストについて、この度サポートを終了することとなりました。

===

■ サポート終了の対象

TLS1.0/1.1を用いたKARTEへの全リクエストを対象に、TLS1.0/1.1を順次無効化していきます。
KARTE利用者のみなさまに関係する代表的なドメインは次の通りです。

  • 管理画面表示に関するドメイン (KARTE利用者のブラウザからのリクエストが対象)
    • admin.karte.io
    • karte-io-works.in
  • イベント計測、アクション表示に関するドメイン (エンドユーザーのブラウザからのリクエストが対象)
    • t.karte.io
    • static.karte.io
    • img-cf.karte.io
  • KARTE for App、APIに関するドメイン
    • api.karte.io

■ TLSとは?

SSLの次世代規格であるTLSは、セキュリティを必要とする通信のための通信規約です。通信内容の暗号化などを目的に、インターネットにおける通信でも広く利用されています。

■ サポート終了理由

TLSの古いバージョンである1.0や1.1では脆弱性が確認されており、その利用は非推奨とされています。

たとえば情報処理推進機構(IPA)が2020年7月に公開した「TLS 暗号設定ガイドライン第3.0版」では、「安全性上のリスクを受容してでもTLS1.0、TLS1.1を継続利用せざるを得ないと判断される場合にのみ採用すべきである」とされています。

■ サポート終了予定日

上述した代表的なドメインに関するKARTE側でのTLS1.0/1.1無効化は、次の日程で実施される予定です。

  • 管理画面表示に関する次のドメイン: 2021/03/31
    • admin.karte.io
    • karte-io-works.in
  • イベント計測、アクション表示に関する次のドメイン: 2021/05/31
    • t.karte.io
    • static.karte.io
    • img-cf.karte.io
  • KARTE for App、APIに関するドメイン: 2021/05/31
    • api.karte.io

■ 影響範囲

次のケースが仮に存在する場合、上述したTLS1.0/1.1のサポート終了による直接的な影響が発生します。

  • TLS1.2での接続ができないWebブラウザからは、KARTE管理画面が利用できなくなります
  • TLS1.2での接続ができないクライアントを使っているエンドユーザーについては、イベントの計測および接客サービスの配信ができなくなります

しかしながら、KARTEがこれまでサポート対象としてきたKARTE利用者およびエンドユーザーのブラウザについては、いずれもTLS1.0/1.1の後続バージョンであるTLS1.2の利用が可能であることを確認しています。

対応ブラウザ・環境 | KARTEサポートサイト

そのため、基本的には上述したTLS1.0/1.1のサポート終了による影響は無い見込みです。

なお、KARTEのサーバーサイドAPIを利用しており、何らかの理由でTLS1.0/1.1を使ってリクエストが送られている場合は、APIへのリクエストが失敗します。

■ 対応が必要なケース

KARTEの管理画面閲覧やエンドユーザーのクライアントサイドのイベントトラッキングに関しては、上述した理由から、基本的にはKARTEをご利用の皆様にご対応いただく作業はない認識です。

KARTEのサーバーサイドAPIを利用している場合は、TLS1.0/1.1を使ったKARTEへのリクエストが行われていないことをご確認ください。

===

本件についてのお問い合わせは、貴社のサポート担当またはチャットサポートまでご連絡ください。