Skip to main content
MSRC

TLS

[IT 管理者向け] TLS 1.2 への移行を推奨しています

Tuesday, July 11, 2017

こんにちは、垣内由梨香です

データを暗号化し安全にやり取りを行う Transport Layer Security (TLS)。TLS は利用しているが、詳細なバージョンまでは把握してない、そんな方も多いのではないでしょうか?暗号プロトコルは「使ってさえいれば安全」ではありません。現在の脅威に対応できるバージョンのみを利用しリスクを下げることが重要です。

マイクロソフトでは、より安全な TLS 1.2 へ移行していくことを推奨しています。

[2020/9/7 追記] 各製品、サービスにおける TLS 1.0/1.1 の廃止予定については、次の情報を参考にしてください。 TLS 1.0 and 1.1 deprecation https://techcommunity.microsoft.com/t5/microsoft-sharepoint-blog/tls-1-0-and-1-1-deprecation/ba-p/1620264

SHA-1 ウェブサーバー証明書は警告!ウェブサイト管理者は影響の最終確認を

Thursday, November 24, 2016

こんにちは、村木ゆりかです。

以前よりマイクロソフト セキュリティ アドバイザリ 2880823、そして、このブログでもご案内しているとおり、証明書に利用されているハッシュ アルゴリズム SHA-1 の安全性の低下に伴い、利用廃止が進められています。

マイクロソフトでは、2017 年 2 月 14 日 (米国時間) ~~2017 年中旬 ~~ 2017 日 5 月 9 日 (米国時間) より、SHA-1 の TLS サーバー証明書を利用するウェブサイトを、Microsoft Edge および Internet Explorer 11 で閲覧した場合、信頼しないサイトとして警告を表示します。インターネットに公開しているウェブサーバーの管理者は、自サイトが 信頼しないサイトとして表示されないように、いまいちど確認をお願いいたします。

補足:すべての構成やシナリオに対応するために Microsoft Edge および Internet Explorer 11 における SHA-1 廃止に受けたタイムラインについて 2017 年中旬へ変更しました。2017 年 5 月より、SHA-1 証明書を利用したサイトを閲覧した場合、警告を表示し保護します。また、Windows 10 の次のリリースにおいては、SHA-1 証明書を既定のブラウザでブロックするようにアップデートを行う予定です。すぐに、SHA-1 証明書を利用したサイトをブロックしたい場合は、the Microsoft Edge Developer Blog にある手順に従い、ブロックを行ってください。

更新 (4/28) : 2017 年 5 月 9 日 (米国時間) に、Microsoft Edge and Internet Explorer 向けの更新プログラムの配信を開始します。これにより、SHA-1 証明書を利用したサイトを閲覧した場合、無効な証明書として警告を表示し、サイトをブロックします。なお、Windows 10 Creators Update は既定で Sha-1 証明書をブロックします。

更新 (5/9):マイクロソフト セキュリティ アドバイザリ 4010323

2017 年 5 月 10 日、マイクロソフトは SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するために Microsoft Edge および Internet Explorer 11 の更新プログラムをリリースしました。この変更で影響を受けるのは、End Entity 証明書または中間証明機関の証明書が SHA-1 を使用している、マイクロソフトの信頼されたルート証明書プログラムのルートにチェーンされた SHA-1 証明書のみです。エンタープライズ証明書や SHA-1 の自己署名証明書は影響を受けませんが、すべてのお客様が SHA-2 ベースの証明書に迅速に移行することをお勧めします。詳細については、「マイクロソフト セキュリティ アドバイザリ 4010323」 および 「Windows Enforcement of SHA1 Certificates」(英語情報) を参照してください。

(1) マイクロソフト SHA-1 証明書の制限措置 全体ロードマップ

マイクロソフト SHA-1 証明書に対する利用制限の措置は、3 段階で実施予定です。まずは、HTTPS ウェブサイトなどに利用されている TLS サーバー証明書を、Microsoft Edge および Internet Explorer 11 で閲覧した際から警告を表示し、徐々に、対象の証明書と対処の利用シナリオの範囲を広げます。

MS10-049: An inside look at CVE-2009-3555, the TLS renegotiation vulnerability

Tuesday, August 10, 2010

This issue was identified by security researchers Marsh Ray and Steve Dispensa. The vulnerability exists because certain Transport Layer Security (TLS)/Secure Sockets Layer (SSL) protected protocols assume that data received after a TLS renegotiation is sent by the same client as before the renegotiation. Renegotiation is TLS functionality that allows either peer to change the parameters of the secure session.