none
IIS7.0のSSL3.0無効化 RRS feed

  • 質問

  • SSL3.0脆弱性対応のため、WEBサーバのSSL2.0及びSSL3.0の[Server」についてレジストリを無効化設定を行いました。

    クライアントのブラウザ(IE10)のSSL3.0のみ有効な設定をし、上記設定を行ったサーバにアクセスしたところ、問題なく動作します。

    下記環境ではクライアントがSSL3.0の設定とした場合、問題なく動作するのが正しいでしょうか?

    クライアント:Windows7(IE10+SSL3.0)

    サーバ:Windows2008Server(IIS7.0+TLS1.0)


    2015年1月15日 4:01

回答

  • Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000

    こんな感じで設定が必要です。

    • 回答としてマーク Nori.Ruru 2015年6月30日 7:17
    2015年1月16日 5:24

すべての返信

  • 設定内容が具体的に記されていないので、正しいか判断のしようがありません。「この内容で正しいでしょうか?」と尋ねるべきかと思います。
    2015年1月15日 6:28
  • ご指摘ありがとうございます。

    サーバ側は下記設定を行いました。

    reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f

    reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f

    2015年1月15日 8:16
  • こちらの設定で問題ないと思えますが、実際にレジストリを参照した場合に、この値は設定されておりますか?

    もしくは、クライアント側で IE を立ち上げなおす or キャッシュ削除でも変わりなしでしょうか?

    2015年1月15日 8:37
  • 設定は正しそうに見えますが、2点ほど

    • IISの通信処理はカーネル空間で行われているため、設定後にOSの再起動が必要です。
    • レジストリのCurrentControlSetは障害があった場合にControlSet00Xの切り替えを行います。設定したものの、次回起動時には古いものに差し替わっている可能性もありますので、値が反映されているか確認が必要です。
    2015年1月15日 8:47
  • 作業としては、レジストリ変更後にサーバ再起動を行いました。

    レジストリの内容で、SSL2.0のみサーバ導入時に設定されていた値と思われますが、「Client」にDisabledByDefault に”1”が設定されております。

    また、クライアントIEのキャッシュクリアを行っても改善されません。

    尚、クライアントIEの設定をSSL2.0とした場合は動作しません。

    2015年1月15日 11:12
  • Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000

    こんな感じで設定が必要です。

    • 回答としてマーク Nori.Ruru 2015年6月30日 7:17
    2015年1月16日 5:24
  • 設定内容のご回答ありがとうございます。確認してみます。
    ちなみにTLS1.1とTLS1.2はIIS7.0でサポートされておりますでしょうか?
    ネットを調べましたが確実な情報が見つかりませんでした。(IIS7.5はサポートされている記述はありましたが。)


    2015年1月19日 4:30
  • ご回答ありがとうございます。
    現状レジストリには下記3件のみ設定です。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
    "DisabledByDefault"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
    "Enabled"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
    "Enabled"=dword:00000000

    新たに下記を追加設定してみます。

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
    "DisabledByDefault"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
    "DisabledByDefault"=dword:00000000

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
    "Enabled"=dword:ffffffff
    "DisabledByDefault"=dword:00000000

    1点確認ですが、Serverの設定に「Client」の設定が必要となりますでしょうか?
    2015年1月19日 6:52
  • 基本的にセットで構成でしょうね。

    Nartac Software - IIS Crypto こういったツールもあります。

    追加

    おそらく、 インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法 の Fixit でも設定可能でしょう。

    2015年1月19日 8:51
  • 手動でレジストリの設定と「MicrosoftのFixit」を実施しましたが、IEのSSL3.0のみ使用する設定をし、サイトにアクセス可能です。

    その他何か考えられる原因はありますでしょうか?

    2015年1月22日 11:51
  • 端末固有の設定と思われ、下記環境のPCでSSL3.0のみ
    設定した場合に、SSL3.0を無効化したサーバにアクセス
    出来ない事を確認できました。

    ・Windows2000 IE6
    ・WindowsXP  IE7
    ・Windows7   IE11

    ただし、上記設定でサーバアクセスが可能なPCもあるようです。

    Windows7   IE10
    Windows7   IE11

    この状況から固有のPC設定でアクセス可能な状況になっていると思われ、
    何か考えられる理由がありませんでしょうか?

    2015年1月26日 4:44
  • IE の詳細設定で TLS 1.0 にチェックが入っていれば SSL 3.0 よりも優先されます。

    このページは表示できません

    [詳細設定] で TLS 1.0、TLS 1.1、TLS 1.2 を有効にして・・・

    とメッセージが表示されないのであれば、設定を再度確認されてはどうでしょう。

    2015年1月27日 3:07
  • IEの設定はTLS1.0のみ、SSL3.0のみの設定で行っており、先日実施した下記では
    SSL3.0で画面が表示されない想定した通りの動作をしております。
    ・Windows2000 IE6
    ・WindowsXP   IE7
    ・Windows7     IE11

    何かがPCにインストールされている場合、IE SSL3.0でアクセスしたServerがSSL3.0を
    無効化しても、TLS1.0が対応する可能性がありますでしょうか?

    2015年2月4日 3:30
  • 今回対応予定のサーバについては、ご回答頂いた位設定で対応できました。
    ご回答ありがとうございました。

    対応が確認できなかったサーバについては、継続し確認してみます。
    2015年6月30日 7:16