Smartsheet(スマートシート)は、継続的なセキュリティー強化の一環として、2026年9月15日に、より脆弱なTLS 1.2暗号スイートのサポートを終了すると発表した。この変更はapi.smartsheet.comとapp.smartsheet.comに影響する。同社は、ほとんどの統合機能は影響を受けないと予想しているが、古いTLSスタックを使っているチームに対し、切り替え前にテストとアップデートを行うよう促している。
この変更により、両エンドポイントで使用できるTLS 1.2暗号スイートは、AEADベースのTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256とTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384の2種類に制限される。現在サポートされているその他のTLS 1.2暗号スイートは全て削除されると、同社は述べている。
Smartsheetは、HTTPクライアントまたはTLSライブラリーがCBCモードまたは静的RSA暗号スイートのみをネゴシエートする統合は、9月15日以降接続できなくなる可能性が高いと警告している。例として挙げられているのは、最新の暗号を自動ネゴシエートしないレガシーエンタープライズランタイム上で動作するカスタム統合、TLSを終端する古いネットワーク機器やプロキシーを経由してルーティングされる統合、および主流サポートが終了したオペレーティングシステムやランタイム上の環境などだ。
同社によれば、最新のランタイム(現行のJDK、.NET、Node.js、Python、Go、Ruby)は、デフォルトで保持される暗号スイートをネゴシエートする。最新のSmartsheet SDKとサポートされているオペレーティングシステムを使用した統合では、特別な操作は不要と説明されている。
推奨される切り替え前の手順には、新しい暗号構成が既に稼働しているapi.test.smartsheet.comのステージング環境に対するテスト、カスタムHTTPクライアントまたはプロキシーがECDHE_RSA_WITH_AES_*_GCM_*スイートをサポートしていることの確認、および必要に応じてサポートされていない環境のアップグレードが含まれる。
発表では、影響を受ける暗号スイートと保持される暗号スイートの完全なリストが記載された。削除予定の暗号スイートは、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384、TLS_RSA_WITH_AES_256_CBC_SHA256、およびTLS_RSA_WITH_AES_256_CBC_SHA。保持されたスイートは、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256およびTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384として識別された。
Smartsheetは、廃止されるサービス群はCBCモードに依存しており、このモードはパディングオラクル攻撃に対して脆弱である可能性があり、NIST SP 800-52 Rev. 2で禁止されていると説明した。同社は、今回の変更はSmartsheetのトラフィックに対する中間者攻撃のリスクを大幅に軽減し、サービスを最新のセキュリティー基準に適合させることを目的としていると述べている。
出典:Smartsheet
この製品の詳細については、Smartsheet製品ページをご覧ください。