SSLを止めてTLSに移行しようなんて軽いノリで言える問題じゃないよね

2014年10月にSSLの脆弱性が判明し、各プロバイダがSSLの使用を停止しTLSに移行する動きをみせています。

また、2014年12月には、TLSの1.0と1.1に問題がある事が判明し、TLS1.2を使用した方が良いとの情報が流れておりますが、セキュリティの専門家ではない私はどう対応すれば良いのかイマイチわかりません。

とはいえ、SSLを継続して利用するのは危険らしく、会社が契約しているメールの運用会社から来年からSSLの使用を停止しますとアナウンスされましたので、クライアント側でTLSへの対応をしなければなりません。

TLSに対応させるのはいいんですが、TLSの設定をどのレベルですればいいのかイマイチわかりません。

今わかっている事は、クライアントとサーバ両方をTLS1.2に対応させなければならない事と、TLS1.2に対応していないクライアントとサーバがまだ稼働している事、そして社内でこの問題を真剣に考えているのが私一人しかいない事です。

社内に何人かシステムの人間がいるのですが、問題がある事を知らないし、知ろうともしないし、問題について教えても指示されるまで何もしないし、どこか他人事なので指示された事以下の結果しか出せないのです。

愚痴はこれくらいにして、まずはどのレベルで対応するか考えなければならないのですが、当初の予定ではTLS1.0にだけ対応すれば最低限の対応はできたものだと考えていましたが、TLS1.2を視野に入れた対応を迫られるようです。

そうなると、社外からアクセスできるグループウェアのOSをTLS1.2に対応したOSへアップグレードする必要があります。

グループウェアのバージョンアップをする際にOSのバージョンも上げる予定でしたのでタイミング的には悪くないのですが、予定よりも数ヶ月着手しなければならなくなり、自分が対応するのかと思うとウンザリしてしまいます。

クライアント側はとりあえずTLS1.0, 1.1, 1.2に対応するようにOSをWindows7にアップグレード(XPとVistaのIEはTLS1.2に未対応)と、ブラウザのオプションでSSL3.0を無効にし、TLS1.0, 1.1, 1.2を有効にしようかと思います。

TLS1.2だけ有効にしようと思ったのですが、グループウェアのサーバがTLS1.0までしか対応していないので、まずはTLSを1.0から全て有効にしなければなりません。

下記の図は、ブラウザをTLS1.2のみ有効にし、TLS1.2に対応していないサイトへ接続した時に表示されるエラー画面です。

TLS接続エラー世の中、TLS1.2に対応したサイトがどれくらいあるかわかりませんが、今の段階ではクライアント側はTLS1.0にも対応させた方が無難かもしれません。

いざとなれば我々のグループポリシーを使用すれば、クライアント側のブラウザ設定は簡単に変えられると思います。

問題は、メールクライアントの設定ですが、こちらはレジストリで設定変更が可能であれば、何とかなると思いますが、手動で設定変更しないといけないとなるとウンザリです。

メールクライアントの設定方法については、機会があればブログの記事にしたいと思います。

この記事をシェアしてみませんか?

コメントを残す


*