TLS

より安全な TLS 設定を利用しましょう

データを暗号化し安全にやり取りを行う Transport Layer Security (TLS)。本ブログでも、過去に何度かお知らせしてきたように、より安全な TLS プロトコルのバージョンである TLS 1.2 以降の利用が、業界全体で推奨されており、TLS 1.1/TLS 1.0 の廃止が進められています。マイクロソフトでも、すべてのサポート対象の製品やサービスで TLS 1.2 の利用が可能となっており、TLS 1.0/1.1 の利用の廃止または既定での無効化が進められています。

2020 年 IE, Edge で TLS 1.0, 1.1 での接続無効化。確認を!

マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考: 過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています)
2020 年 前半、Internet Explorer 11, Microsoft Edge にて、 TLS 1.0 および TLS 1.1 を既定で無効化する措置を行う予定です。

[IT 管理者向け] TLS 1.2 への移行を推奨しています

こんにちは、垣内由梨香です データを暗号化し安全にやり取りを行う Transport Layer Security (TLS)。TLS は利用しているが、詳細なバージョンまでは把握してない、そんな方も多いのではないでしょうか?暗号プロトコルは「使ってさえいれば安全」ではありません。現在の脅威に対応できるバージョンのみを利用しリスクを下げることが重要です。 マイクロソフトでは、より安全な TLS 1.2 へ移行していくことを推奨しています。 [2020/9/7 追記] 各製品、サービスにおけるTLS 1.0/1.1の廃止予定については、次の情報を参考にしてください。 TLS 1.0 and 1.1 deprecation https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/tls-1-0-and-1-1-deprecation/ba-p/1620264

SHA-1 ウェブサーバー証明書は警告!ウェブサイト管理者は影響の最終確認を

こんにちは、村木ゆりかです。
以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。
マイクロソフトでは、2017 年 2 月 14 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。
インターネットに公開しているウェブサーバーの管理者は、自サイトが 2017 年 2 月 14 日以降信頼しないサイトとして表示されないように、いまいちど確認ををお願いいたします。

MS12-006 SSL/TLS の脆弱性のちょっと詳しい解説

マイクロソフトは、2012 年 1 月SSL/TLS の脆弱性 (CVE-2011-3389) を解決するセキュリティ更新プログラム MS12-006 を公開しました。この脆弱性は、SSL プロトコルと TLS プロトコルに関するもので、業界全体で対応が進められています。しかし、残念ながら、脆弱性の修正により互換性の問題が生じ、Internet Explorer を含むブラウザーで一部の Web サイトに対する HTTPS 接続ができなくなるなどの影響が出ました。そもそも、この脆弱性はどういった内容で、なぜ問題が起きたか、問題が起きた後にはどう対処すればよいかについて解説します。 脆弱性の概要 SSL/TLS の CBC (ブロック暗号化) モードの脆弱性の存在は、10 年ほど前から知られていました。しかし、理論上は暗号を破ることが可能なものの効率的な攻撃方法は見つかっていませんでした。ところが最近、Juliano Rizzo、Thai Duong の両氏によって SSL/TLS で保護された通信に対する情報解読攻撃について詳述した論文が公開されました。これは、下記の条件が整っている場合、HTTPS 通信の一部の内容が解読可能になるというものです。 攻撃者はクライアントに任意の HTTPS パケット送信させることが可能 (何らかの方法で) 攻撃者は HTTPS 通信を盗聴可能 SSL/TLS で CBC モードが選択されている CBC モード (データをブロック単位で暗号化する方式) でブロック内のデータのすべてが不明な場合、解読は非常に困難ですが、1 バイトだけ不明で残りのデータは判明している場合、1 バイトの情報をブルートフォース (総当たり攻撃) で解読することが可能です。そして今回発表された攻撃方法は、SSL/TLS で暗号化されていてもパケットの中身が推測可能という HTTP 通信の特徴を利用して、1 バイト解読を繰り返すことで、一定時間内に Cookie …

MS12-006 SSL/TLS の脆弱性のちょっと詳しい解説 Read More »

MS10-049: An inside look at CVE-2009-3555, the TLS renegotiation vulnerability

This issue was identified by security researchers Marsh Ray and Steve Dispensa. The vulnerability exists because certain Transport Layer Security (TLS)/Secure Sockets Layer (SSL) protected protocols assume that data received after a TLS renegotiation is sent by the same client as before the renegotiation. Renegotiation is TLS functionality that allows either peer to change the …

MS10-049: An inside look at CVE-2009-3555, the TLS renegotiation vulnerability Read More »

MS10-049: A remote Code Execution vulnerability in SChannel, CVE-2010-2566

In MS10-049, we are also addressing a second vulnerability, CVE-2010-2566. This is a vulnerability in schannel.dll which can potentially lead to Remote Code Execution. The vulnerability is present only in Windows XP and Windows Server 2003, and does not affect Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008 R2.   This vulnerability …

MS10-049: A remote Code Execution vulnerability in SChannel, CVE-2010-2566 Read More »