RHEL 9.2 以降で TLS 拡張機能 Extended Master Secret が必須に

Issue

Red Hat Enterprise Linux 9.2 (RHEL 9.2) 以降では、今後の FIPS-140-3 要件に従い、FIPS 対応システム上の TLS 1.2 接続に拡張マスターシークレット (EMS - RFC 7627) 拡張機能が必須となります。TLS 1.3 は影響を受けません。EMS または TLS 1.3 をサポートしていない従来のクライアントは RHEL 9.2 に基づく FIPS サーバーに接続できず、その逆も同様であるため、これは互換性を損なう可能性のある変更です。FIPS モードの RHEL 9.2 クライアントは、最も新しいプロトコルバージョンとして TLS 1.2 をサポートし、EMS をサポートしていないサーバーに接続できません。

実際には、RHEL 9.2 以降では、これらのシステムの TLS 実装が EMS も TLS 1.3 もサポートしていないため、FIPS モードでは RHEL 6、RHEL 7、およびその他の RHEL 以外のレガシーシステムを使用するサーバーとの TLS 接続を確立できません。

また、Go で記述され、FIPS モードでは EMS も TLS 1.3 もサポートしていない Go 1.18 以前のバージョンでコンパイルされた TLS サーバーとの相互運用性の問題が発生する可能性もあります。