今やウェブサイトを常時SSL/TLS化させるのは常識ですが実はそれだけでは対策が不十分で、WebサーバーをTLS1.2通信に対応させなければなりませんが、Windows ServerのIISは標準で無効化されています。
IISのSSLやTLS1.1以下を無効化したりTLS1.2を有効化するには、Windows Serveのレジストリを複数追加しなければなりませんが、ツールを使えば簡単に設定できるので難しく考える必要はありません。
グループウェアなどを社外からアクセスできるように、セキュリティ証明書をインストールしたサーバーをDMZへ配置している企業は、今後WebサーバーをTLS1.2へ対応させなければアクセス不能となります。
セキュリティレベルをチェック
自社で公開しているウェブサイトやグループウェアのアクセスをTLS1.2に対応させる前に、まずは現時点でのセキュリティレベルを診断し、ウェブサーバーの脆弱性をチェックすることをおすすめします。
ウェブサイトのセキュリティレベルを確認する方法はとても簡単で、Qualys SSL Labs SSL Server Testのサイトにアクセスし、自社のウェブサイトやグループウェアのアドレスを入力するだけです。
Qualys SSL Labs SSL Server Testでは、SSL/TLS証明書暗号化の長さやSSL2からTLS1.3までの対応状況、無効化すべきセキュリティのチェックを簡単にすることができます。
因みに、Windows Server 2016のデフォルト設定でSSL/TLS化したサイトでも、Qualys SSL Labsのサイトでセキュリティチェックを行うとFランク判定されるので、必ず設定変更することをおすすめします。
IISCryptoという便利なツールを使うと、煩わしいレジストリの設定をすることなく、GUIの操作で簡単にAランクへ昇格させることができるので、是非セキュリティ設定の見直しをしてください。
セキュリティ設定の変更方法
Windows Serverでセキュリティレベルの高いウェブサイトを公開するには、レジストリを変更しなければならないのですが、記述ミスや作業漏れがあるのでIISCryptoを使うのがおすすめです。
単純にSSLの無効化やTLS1.0およびTLS1.1を無効化するだけなら、手動でレジストリを変更して対応することも可能ですが、Cipher、Hashe、Key Exchange、Client Protocolを全て手動で設定するのは困難です。
TLS1.2の暗号化にウェブサーバーが対応していないと、今後ChromeやFirefoxなどのブラウザでサイトが表示されなくなりますので、SSLやTLS1.0と1.1を無効化し、TLS1.2以上を有効にしてください。
上記例の通りWindows Serverのセキュリティ設定を変更しSSL Server Testを実行すると、Fランク判定からAランクまで昇格されるので、システム管理者としてはひとまず安心できます。
古い仕組みを利用していなければSSLやTLS1.0と1.1を無効化にしてもサーバーの挙動に影響はありませんし、クライアントも最新版のウェブブラウザがインストールできればサイトにアクセス可能です。
990円のSSLサーバー証明書で十分
今の時代はレンタルサーバーのサービスが充実しているので、自前でウェブサーバーを立ち上げる企業やユーザーの数も減りつつありますが、昔から存在するサイトはSSL暗号化されていないサイトもかなりあります。
ECサイトやインターネットバンキングなどの信頼が重要視されるサイトには使えませんが、自社のスタッフが利用するグループウェアやブログサイトなら、年額990円のドメイン認証型SSLサーバー証明書で十分です。
以前は、年間数万円のSSLサーバー証明書を利用していましたが、現在はさくらインターネットに切り替えて、NASで構築したFTPSやWebサイトの維持コストを大幅に削減することができました。