Windows Server 2016 でカスタム暗号スイートの順序付けを展開する方法
この記事では、Windows Server 2016 で Schannel のカスタム暗号スイートの順序付けを展開するのに役立つ情報を提供します。
適用対象: Windows Server 2016
元の KB 番号: 4032720
まとめ
Windows で Schannel 用に独自の暗号スイートの順序をデプロイするには、最初にこれらを一覧表示して、HTTP/2 と互換性のある暗号スイートに優先順位を付ける必要があります。 HTTP/2 (RFC 7540) ブロック リストにある暗号スイートは、一覧の一番下に表示される必要があります。 例えば次が挙げられます。
暗号ブロック チェーン (CBC) モードの暗号スイート:
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
非 PFS (完全な前方秘密) 暗号スイート:
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_GCM_SHA256
ブロック リストにある暗号スイートが一覧の先頭に表示されている場合、HTTP/2 クライアントとブラウザーは、HTTP/2 互換の暗号スイートをネゴシエートできない可能性があります。 これにより、プロトコルの使用に失敗します。
たとえば、Chrome を使用すると、エラー ERR_SPDY_INADEQUATE_TRANSPORT_SECURITYが表示されることがあります。
Windows Server 2016 の既定の順序は、HTTP/2 暗号スイートの優先設定と互換性があります。 さらに、この順序は、最も強力なセキュリティ特性を持つ暗号スイートを優先しているため、HTTP/2 を超えて優れた順序付けになります。 そのため、既定の順序では、Windows Server 2016 の HTTP/2 に、ブラウザーとクライアントとの暗号スイート ネゴシエーションの問題がないことを確認します。
回避策
重要
このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。
プロトコルの使用に失敗した場合は、暗号スイートの順序を変更するときに、HTTP/2 を一時的に無効にする必要があります。
HTTP/2 を有効または無効にするには、次の手順に従います。
- regedit (レジストリ エディター) を起動します。
- 次のサブキーに移動します:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters。 - DWORD 型の値 EnableHttp2Tls を次のいずれかに設定します。
- HTTP/2 を無効にするには、0 に設定します。
- HTTP/2 を有効にするには、この値を 1 に設定します。
- コンピューターを再起動します。