しかし、TLS1.1 や1.0 、そしてSSL3.0 まで利用できてしまいます。
そのため、下記のレジストリを設定することで、TLS1.2 以外の通信ができないように制御することが可能です。
TLS 1.0 の無効化
====================================================
以下のレジストリを作成して設定することで、TLS 1.0 を無効化することができます。
既定では存在しないキー、値となりますので、存在しない場合は手動で作成してください。
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
値: Enabled
値の種類: REG_DWORD
設定値: 0x0
値: DisabledByDefault
値の種類: REG_DWORD
設定値: 0x1
以下のレジストリを作成して設定することで、TLS 1.0 を無効化することができます。
既定では存在しないキー、値となりますので、存在しない場合は手動で作成してください。
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
値: Enabled
値の種類: REG_DWORD
設定値: 0x0
値: DisabledByDefault
値の種類: REG_DWORD
設定値: 0x1
TLS 1.1 の無効化
====================================================
以下のレジストリを作成して設定することで、TLS 1.1 を無効化することができます。
既定では存在しないキー、値となりますので、存在しない場合は手動で作成してください。
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
値: Enabled
値の種類: REG_DWORD
設定値: 0x0
値: DisabledByDefault
値の種類: REG_DWORD
設定値: 0x1
SSL 3.0 の無効化
====================================================
以下のレジストリを作成して設定することで、SSL 3.0 を無効化することができます。
既定では存在しないキー、値となりますので、存在しない場合は手動で作成してください。
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
レジストリ キー:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
値: Enabled
値の種類: REG_DWORD
設定値: 0x0
値: DisabledByDefault
値の種類: REG_DWORD
設定値: 0x1
Enabled は OS で TLS 1.0、1.1 及びSSL 3.0 を有効/無効にするかを決めるレジストリです。
一方、DisabledByDefault はアプリケーションが明示的に TLS/SSL のバージョンを指定しない場合に、OS が自動的にそのバージョンの TLS/SSL 通信を行うかどうかを決定します。
"DisabledByDefault" を 0 に設定しますと、該当の TLS/SSL のバージョンが "既定で有効" になり、1 に設定しますと "既定で無効" になります。
しかしながら、"DisabledByDefault" がいずれの設定の場合でもアプリケーションが明示的に指定した場合には、指定されたバージョンの TLS/SSL 通信が行われます。
また、レジストリ キーとして上記の通り Client と Server の 2 つありますが、"Client" はクライアント側として動作するときの設定、"Server" はサーバー側として動作するときの設定となります。
より詳細な公開情報は下記にありますので、参照してみてください。
0 件のコメント:
コメントを投稿