Win 8.1編: SSL 3.0をOSレベルで無効にする

こんにちは、阿久津です。各所で報じられているとおり、Windows 10にMacのマルチタッチジェスチャに似た機能を搭載することが明らかになりました。3本指でタッチパッドを下方向にスワイプしますと、各ウィンドウが最小化。Task Viewによるアプリケーションの切り替え時も、3本指で左右に動かしますと、カーソルが移動するというもの。個人的にタッチパッドは苦手でしたが、今後のWindows 10テクニカルプレビューでサポートされた暁には報告したいと思います。

さて、SSL 3.0の脆弱性に起因する情報漏えい問題(通称、POODLE)ですが、ユーザーレベルではSSL 3.0を使用しなければ問題ありません。各WebブラウザーでSSL 3.0を無効化する方法は過去にも紹介しましたが、Windowsが実装した機能レベルで無効にする方法は割愛しています。

具体的にはSSP(Schannelセキュリティサポートプロバイダー)レベルで無効にするというものです。Schannelとはセキュリティ保護したチャネルを意味し、SSLなどのセキュアな通信はSSPなどを経由してデータの送受信を行います。そのため紹介する方法を用いますと、Internet Explorerを含む各種アプリケーションのSSL 3.0を無効になります。そこで今週はSSL 3.0をOSレベルで無効にするチューニングをお送りしましょう。

1. 管理者権限でレジストリエディターを起動します。
2. レジストリエディターが起動したら、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Clientキーを開きます(ない場合は作成します)。
3. DWORD値「Enabled」を作成します。
4. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Serverキーを開きます(ない場合は作成します)。
5. DWORD値「Enabled」を作成します。
6. レジストリエディターを終了します。
7. コンピューターを再起動します。

これでチューニングが完了しました(図01～14)。

では、結果を確認してみましょう。前述のように実装レベルで機能を無効にしているため、設定項目のチェックが外れるといった変化は生じません。そこでインターネットオプションダイアログを起動し、＜詳細設定＞タブに並ぶ＜TLS 1.0を使用する＞＜TLS 1.1の使用＞＜TLS 1.2の使用＞のチェックを外してください(図15)。

この状態でSSL/TLS接続を必要とするWebサイト(FacebookやTwitterなど)にアクセスしてみましょう。すると「このページは表示できません」というメッセージと共にアクセスに失敗します。先ほど設定変更した各項目にチェックを入れてから同Webサイトにアクセスしてください。今度は正しく表示できるはずです(図16～17)。

この結果からInternet Explorer側でSSL 3.0の使用を選択していても、OSレベルで無効になったことを確認できました。何らかの理由でサポート終了したアプリケーションを使う場合や、SSL/TLSに関する設定項目が用意されていないアプリケーションを使わなければならないときに本チューニングをお試しください。

それでは、また次号でお目にかかりましょう。

阿久津良和（Cactus）