none
TLSv1.0の無効化について RRS feed

  • 質問

  • レジストリに下記エントリを追加することでTLSv1.0の無効化を実施できる認識です。

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 3.0\Server

    Enabled REG_DWORD 0x00000000(0)

    DisabledByDefault REG_DWORD 0x00000001(1)

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 3.0\Client

    Enabled REG_DWORD 0x00000000(0)

    DisabledByDefault REG_DWORD 0x00000001(1)

    ①本設定とインターネットブラウザ上の設定は別物なのでしょうか?

    例)

    IEで[インターネットオプション]-[詳細設定]-[セキュリティ]欄の「TLS 1.0を使用する」

    ②サーバとしてTLSv1.0を無効化するには双方共の設定が必要なのでしょうか?

    2018年6月13日 2:47

回答

  • 記載されているレジストリパスが "TLS 3.0" になっていますが、これは誤りで良かったでしょうか。(TLS 3.0 は存在しませんし・・・)

    TLS 1.0 を無効化する正しいレジストリパスとしては以下でしょう。

     

    HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

     

    HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client

     

    これらのレジストリは、IE を含む Windows 上で動作するアプリケーションと Windows TLS 1.0 を有効・無効にするものです。

    一方、IE のインターネットオプションに有る「TLS 1.0を使用する」の設定は、設定したユーザーの IE でのみ TLS 1.0 を有効・無効にするものですので、設定としては別物です。

     

    また、サーバーとして TLS 1.0 を無効 (TLS 1.0 のクライアントは拒否する) のであれば、"HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" だけで十分でしょう。

     

    なお、TLS 1.0 では有りませんが、詳細については SSL 3.0 についてのブログやアドバイザリ情報がある程度参考になるかと思います。

     

    [回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2

    https://blogs.technet.microsoft.com/jpsecurity/2014/10/28/3009008ssl-3-0-24/

     

    マイクロソフト セキュリティ アドバイザリ 3009008

    https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3009008

    • 回答としてマーク kosukeee 2018年6月14日 1:33
    2018年6月13日 14:44

すべての返信

  • 記載されているレジストリパスが "TLS 3.0" になっていますが、これは誤りで良かったでしょうか。(TLS 3.0 は存在しませんし・・・)

    TLS 1.0 を無効化する正しいレジストリパスとしては以下でしょう。

     

    HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server

     

    HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client

     

    これらのレジストリは、IE を含む Windows 上で動作するアプリケーションと Windows TLS 1.0 を有効・無効にするものです。

    一方、IE のインターネットオプションに有る「TLS 1.0を使用する」の設定は、設定したユーザーの IE でのみ TLS 1.0 を有効・無効にするものですので、設定としては別物です。

     

    また、サーバーとして TLS 1.0 を無効 (TLS 1.0 のクライアントは拒否する) のであれば、"HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" だけで十分でしょう。

     

    なお、TLS 1.0 では有りませんが、詳細については SSL 3.0 についてのブログやアドバイザリ情報がある程度参考になるかと思います。

     

    [回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2

    https://blogs.technet.microsoft.com/jpsecurity/2014/10/28/3009008ssl-3-0-24/

     

    マイクロソフト セキュリティ アドバイザリ 3009008

    https://docs.microsoft.com/ja-jp/security-updates/securityadvisories/2015/3009008

    • 回答としてマーク kosukeee 2018年6月14日 1:33
    2018年6月13日 14:44
  • Lapivyさん

    ご返信ありがとうございます。

    双方の設定の仕方の違いを理解することができました。

    ※レジストリパスの記載間違っていました。。。

    2018年6月14日 1:37