Twilioブログ

【重要なお知らせ】
★Twilio API 暗号化におけるセキュリティポリシー変更のお知らせ

日本時間 2018/6/21 (太平洋夏時間 2018/6/20) に、Twilio はセキュリティとコンプライアンスの改善活動の一貫として、リクエストの暗号化方式の実装を変更いたします。この変更によって、現在ご利用のTwilioアプリケーションに影響がでるケースがございますので、必ず内容をご確認ください

TLS 1.0 のサポート終了

API の TLS 1.0サポートを終了します。セキュリティに関する各ベストプラクティスでご周知の通り、Web通信において TLS 1.0 は非推奨です。これに沿う形で、Twilio API は SSLのサポートを終了、及び TLS 1.2未満のサポートを終了します。

弱い Cipherスイートの廃止

高いセキュリティ基準を維持するため、Twilio は、APIリクエストの際に使われる弱い暗号化用Cipherスイートを廃止します。最近の一般的なセキュリティ基準では、TLS 1.2で使われるいくつかの Cipherスイートを脆弱と判断しています。漏洩や悪用といった事故はありませんでしたが、セキュリティ業界では、Web通信においてこれらのCipherスイートの利用を推奨していません。各TLSバージョンでサポートしているCipherスイートのリストは、この記事の最後に記載します。

Root署名機関の変更

Twilio はこれまで TLS/SSL証明書の署名に Thawte を利用していましたが、この度 Symantec の Digicert に買収されました。これに伴い、Thawte は CA および 中間証明書としては引退となります。Google, Microsoft, Mozilla をはじめとする多くの CA/ブラウザフォーラムのメンバーは、従来の Thawte署名を信頼していますが、先々のことを考え、より長く信頼された署名を利用するため、Twilio API は、Root署名を DigiCert に変更することにしました。

Twilioをご利用の皆様に、この変更に伴う十分な検証時間を提供できるよう、この新しい証明書を使った通信を 8443番ポートで開放しています。この証明書の変更が、現在ご利用のTwilioアプリケーションに及ぼす影響の有無を 8443番ポートを使って十分検証していただくことを強くお勧めします。一般的な HTTPSポートである 443番ポートに新しい証明書を適用するのは、日本時間 2018/6/21 (太平洋夏時間 2018/6/20) になります。厳密な時刻は未定のため、この日付になるまでに各種確認と対応が完了するようお進めください。

この対応に関する技術的Tipsは →こちらの記事(英語) で紹介しています。
8443番ポートを利用した検証の詳細については →こちらの記事(英語) をご参照ください。

なお、今回の TLSバージョン・Cipherスイートの変更は、TwiML Webhook や Callback には影響しません。TwiML Webhook や StatusCallback におけるプロトコル・Cipherスイートに関する詳しい情報は →こちらの記事(英語) をご参照ください。

Twilio API がサポートする暗号化プロトコルとCipherスイート

TLS 1.2:
 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS 1.1:
 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA