皆様、お世話になっております。
TLS1.1以前の無効化およびTLS1.2の有効化についてご教示頂きたく存じます。
Windows Server レジストリにはTLS1.1以前を無効化するキーおよびTLS1.2を有効化するキーを
設定しております。
この状態でmoodleへアクセスを行いました。
インターネットエクスプローラのオプション設定において、
* TLS1.0を使用するのみにチェック -> アクセス不可
* TLS1.1を使用するのみにチェック -> アクセス可能
* TLS1.2を使用するのみにチェック -> アクセス可能
という結果になりました。TLS1.1でのアクセス不可を実現させていただきたく、ご質問させて頂きました。
当方のmoodle実行環境は以下の通りでございます。
•Moodle の入手場所 moodle.org
•バージョン:3.4(Build:20171113)
•PHP のバージョン :7.0.26.1
•Webサーバ:IIS10
•OS:Windows Server2016
何卒よろしくお願いいたします。
Moodleサーバとは別のLinuxサーバから下記コマンドを実行した場合に「CONNECTION ESTABLISHED」のような実行結果が表示されますでしょうか?
openssl s_client -tls1_1 -brief -connect MoodleサーバのURL:443
CONNECTION ESTABLISHED
Protocol version: TLSv1.1
また、念のため、MoodleサーバでTLS 1.1を無効にするためのレジストリが設定されていることをご確認ください。
参考資料:
[トランスポート層セキュリティ (TLS) のレジストリ設定 - Microsoft Docs]
https://docs.microsoft.com/ja-jp/windows-server/security/tls/tls-registry-settings
[Transport Layer Security (TLS) registry settings - Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/security/tls/tls-registry-settings
早速のキャッチアップ誠にありがとうございます。
ご教授頂いた、下記のコマンドを実行致しました。
openssl s_client -tls1_1 -brief -connect MoodleサーバのURL:443
>>CONNECTION ESTABLISHED
>>Protocol version: TLSv1.1
との実行結果でございました。
Moodleサーバ(Windows Server2016)でTLS 1.1を無効にするためのレジストリが設定されている事を再度確認いたしました。TLS1.0,TLS1.1のレジストリーキーには無効化を示すキーが設定されており、
TLS1.2のレジストリーキーには有効化を示すキーが設定されていることを確認いたしました。
*****
"MoodleサーバのURL:443" ですが、NTTぷららよりI固定IPを割り当てられております。
その光終端装置(NTT GE-ONU)に対して、"openssl s_client" のコマンドを発行している認識で宜しかったでしょうか。
無知で大変恐縮ですが、よろしくお願いいたします。
ありがとうございます。
下記サイトの「Test your server >>」ページでMoodleサーバへのSSLアクセスを確認した場合、「Configuration」セクションの「Protocols」で「TLS 1.1」が「Yes (有効)」になっていますでしょうか?
[Qualys SSL Labs]
https://www.ssllabs.com/
また、下記手順の後でも「TLS 1.1」によるウェブアクセスが可能でしょうか?
> その光終端装置(NTT GE-ONU)に対して、"openssl s_client" のコマンドを発行している認識で宜しかったでしょうか。
はい、ONU (光終端装置) にMoodleサーバを直結されているのでしたら、ONU経由でMoodleサーバに「openssl s_client」コマンドが発効さているとお考えください。
コメント並びにサポート誠にありがとうございます。
>「Configuration」セクションの「Protocols」で「TLS 1.1」が「Yes (有効)」になっていますでしょうか?
はい、ご教示頂いたサイトにおいて該当のHostnameを入力してみました。
やはり、TLS1.1とTLS1.2が有効との結果でした。
>ONU (光終端装置) にMoodleサーバを直結されているのでしたら、
>ONU経由でMoodleサーバに「openssl s_client」コマンドが発効さているとお考えください。
ご案内ありがとうございます。
当方の構成は、下記の構成となっております。
ONU (光終端装置) <=> ルーター <=> Ubuntuサーバ(16.04) <=> Windows Server2016(Moodleが起動ています。)
認証局から発行されるサーバ証明書はWindows Server2016上のIISに組み込まれております。
それと同時にopensslコマンドでcrt,keyファイルを作成して、Ubuntuサーバ上にも組み込んでおります。
UbuntuサーバはFirewallの役割を担っております。
このUbuntuサーバ上のSSL設定にもTLS1.1を無効化するような設定は必要でしょうか。
宜しくお願い致します。
お世話になっております。
Ubuntuサーバはリバースプロキシーの役割を持たせておりました。
該当のHostnameで提供しているWebサービス(moodle)はすべてこのUbuntuサーバのapacheで一時受けしており、
リバースプロキシーで各サーバに引き渡しておりました。
そこでUbuntuサーバの/etc/apache2/mods-available/ssl.conf ファイルを確認したところ
SSLProtocolには-all +TLSv1.1 +TLSV1.2の記述がありこれを、-all +TLSV1.2 としたところ
TLS1.1が無効化することができました。
多大なるサポートどうもありがとうございました。
今後ともよろしくお願いいたします。
