2014年11月01日

SSL3.0を無効にする Windows編

これまで、ブラウザやアプリケーション別にSSL3.0を解除する方法をみてきましたが、クライアントOS上で動くすべてのアプリに対して制限してしまうというのが今回の方法です。

20141101-1.jpg

考えてみれば、これを適用すれば、各アプリの設定は気にしなくていいわけで、これが一番手っ取り早いのかもしれませんね。ただし、これで設定すると、仮にブラウザ側の設定で、SSL3.0が有効になっていてもWindows7やWindows8などといったクライアントOSの設定によって、強制的にSSL3.0が無効になりますので、SSL3.0が有効でないと利用できないサイトは、接続できなくなりますのでご注意ください。

直接Registryを調整することになります。ですので、ご心配な方はバックアップを取ってから試してください。さてその手順ですが、クライアントOSでは、具体的には以下の手順になります。Windows8.1で確認してみました。

【追加・設定するキー】
HKey_Local_Machine>System>CurrentControlSet>Control>SecurityProviders>SCHANNEL>Protocols>SSL 3.0>Client 

1) Windowsキー + R にて、"ファイル名を指定して実行" のダイアログを表示し、"regedit" と入力しOKします。UAC(ユーザーアカウント制御)の画面がでたら "はい" で進んでください

20141101-2.jpg

2) Registryエディターが起動したら、
HKey_Local_Machine>System>CurrentControlSet>Control>SecurityProviders>SCHANNEL>Protocols と開きます。おそらくSSL2.0はあったとしても、デフォルトでは、SSL3.0というキーはないはずなので、"Protocols" が選択されている状態で、  編集>新規>キー  とクリックして、新たに、"SSL3.0" という項目を作成します。さらに同様の手順で、"SSL3.0" が選択されている状態で、"Client" という項目を作成します

20141101-3.jpg20141101-4.jpg

3) 続いて、"Client" を右クリックして、 新規>DWORD(32ビット値) とクリック。新規に作成されたキーの名前を、"Enabled" とて確定します

20141101-5.jpg

4) 作成された "Enabled" をダブルクリックして開いて、"値" のところを "0" と入力します。すでに "0" であれば、OKで閉じてください

20141101-6.jpg

5) 設定が完了したらPCを再起動します。ちなみに再起動後以下のサイトにアクセスしてみて、以下のような表示になれば正常にSSL3.0が解除されたことになります。

POODLETESTサイト

20141101-7.jpg

ここにきて証券会社などでもホームページ上で注意喚起するようになってきたようです。

【重要】SSL3.0の脆弱性への対応のため必ず通信設定をご確認ください/SBI証券
【重要】SSL3.0の脆弱性への対応のため必ず通信設定をご確認ください/千葉銀行

また、以下の ”[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2” のところでも触れられてますが、"2014 年 12 月 1 日より、Azure および Office 365 にて、SSL 3.0 を無効化します。これにより、Azure および Office 365 を利用するクライアント端末およびブラウザーは、TLS1.0 以上を有効化し、接続を行う必要があります。現時点では、サービス側への接続分析より、SSL 3.0 を利用した接続は少数であることが判明しています。Azure および Office 365 をご利用のお客様は、2014 年 11 月 30 日までに、TLS 1.0 以上を有効化してください" とあるように、今後Office365を利用する端末では特に注意が必要です。

<参照>
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2
マイクロソフト セキュリティ アドバイザリ 3009008/SSL 3.0 の脆弱性により、情報漏えいが起こる
posted by クリック at 20:04| 東京 ☔| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック