SSL3.0脆弱性対応のため、WEBサーバのSSL2.0及びSSL3.0の[Server」についてレジストリを無効化設定を行いました。
クライアントのブラウザ(IE10)のSSL3.0のみ有効な設定をし、上記設定を行ったサーバにアクセスしたところ、問題なく動作します。
下記環境ではクライアントがSSL3.0の設定とした場合、問題なく動作するのが正しいでしょうか?
クライアント:Windows7(IE10+SSL3.0)
サーバ:Windows2008Server(IIS7.0+TLS1.0)
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000こんな感じで設定が必要です。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] "Enabled"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:ffffffff "DisabledByDefault"=dword:00000000
こんな感じで設定が必要です。
ご指摘ありがとうございます。
サーバ側は下記設定を行いました。
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f
こちらの設定で問題ないと思えますが、実際にレジストリを参照した場合に、この値は設定されておりますか?
もしくは、クライアント側で IE を立ち上げなおす or キャッシュ削除でも変わりなしでしょうか?
設定は正しそうに見えますが、2点ほど
作業としては、レジストリ変更後にサーバ再起動を行いました。
レジストリの内容で、SSL2.0のみサーバ導入時に設定されていた値と思われますが、「Client」にDisabledByDefault に”1”が設定されております。
また、クライアントIEのキャッシュクリアを行っても改善されません。
尚、クライアントIEの設定をSSL2.0とした場合は動作しません。
特定の暗号化アルゴリズムおよび Schannel.dll のプロトコルの使用を制限する方法
Windows Server 2008 は TLS 1.0 のみサポートですね。
基本的にセットで構成でしょうね。
Nartac Software - IIS Crypto こういったツールもあります。
追加
おそらく、 インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法 の Fixit でも設定可能でしょう。
手動でレジストリの設定と「MicrosoftのFixit」を実施しましたが、IEのSSL3.0のみ使用する設定をし、サイトにアクセス可能です。
その他何か考えられる原因はありますでしょうか?
端末固有の設定と思われ、下記環境のPCでSSL3.0のみ 設定した場合に、SSL3.0を無効化したサーバにアクセス 出来ない事を確認できました。
・Windows2000 IE6 ・WindowsXP IE7 ・Windows7 IE11
ただし、上記設定でサーバアクセスが可能なPCもあるようです。
Windows7 IE10 Windows7 IE11
この状況から固有のPC設定でアクセス可能な状況になっていると思われ、 何か考えられる理由がありませんでしょうか?
IE の詳細設定で TLS 1.0 にチェックが入っていれば SSL 3.0 よりも優先されます。
[詳細設定] で TLS 1.0、TLS 1.1、TLS 1.2 を有効にして・・・
とメッセージが表示されないのであれば、設定を再度確認されてはどうでしょう。
IEの設定はTLS1.0のみ、SSL3.0のみの設定で行っており、先日実施した下記では SSL3.0で画面が表示されない想定した通りの動作をしております。 ・Windows2000 IE6 ・WindowsXP IE7 ・Windows7 IE11
何かがPCにインストールされている場合、IE SSL3.0でアクセスしたServerがSSL3.0を 無効化しても、TLS1.0が対応する可能性がありますでしょうか?
