2018年6月1日以降、Yahoo! JAPANがインターネット通信暗号化方式「TLS1.0」および「TLS1.1」のサポートを順次終了するというニュースを見ました。Windows7以降のパソコンには関係ない話になりますが、もろに影響を受けるXPとVistaでTLS1.2専用のサイトを表示させることが出来るのか確認してみました。
結論はFirefoxかChromeブラウザーで見れば、TLS1.2のサイトも表示できました。ただし、リカバリーやOSを新規インストールした場合にブラウザーが公式ページからダウンロードできなくて困るかもしれません。
Firefoxブラウザー(2018年8月末まで?)
現在、VistaとXPのInternet Explorerで公式サイトからダウンロードが可能で、インストールもできてTLS1.2に対応しているのがFirefoxです。
Mozilla公式ページのダウンロードボタンをクリックしてインストールされるバージョンは、XPとVistaの場合、Firefox ESR バージョン52.8.0が選ばれます。ESRというのは延長サポート版という意味です。
ESRでもサポート期限がありバージョン52.8.0が2018年6月末(今月)で、バージョン52.9.0が2018年8月末です。XPとVistaに対応しているバージョンはここまでです。その次のバージョンからはWindows7以降のみとなります。
公式サイトからダウンロードできるのは2018年8月末までの可能性が高いです。それまでに再インストール用にオフラインインストーラーを入手して保管しておく場合は、コチラのページから言語別にダウンロード可能です。
Chrome、Operaブラウザー(旧バージョン終了)
ChromeブラウザーでXPとVistaに対応しているのは、Chrome 49バージョンが最終バージョンです。現在、Googleの公式ページから旧バージョンのChromeブラウザーはダウンロードできません。
PCにダウンロード済みのChromeSetup.exeが残っていたとしても、ファイル容量が1MBくらいの通常のインストーラーだと最新バージョンでダウンロードが始まってインストールできないです。オフラインインストーラーの42MBくらいのファイルである必要がありますが、その可能性は低いです。
もうひとつの有名ブラウザーのOperaも、現在は最新バージョンしか公式ページからダウンロードできないようです。以前あった旧バージョンのアーカイブページはリンクが切れているようです。
Internet Explorer(一部サイトで対応可能)
XPの最終バージョンIE8、Vistaの最終バージョンIE9はどちらもTLS1.0までしか対応していません。
XPとVistaのサポート終了後、Server2008用とPOSReady2009用ですがTLS1.1と1.2をサポートする更新プログラムが出てまさかと思いましたが、OSが対応してもソフト(IE)が未対応なものはどうしようもないようです。
(追記)コメントで情報頂きましたTrekkerさん(いつもありがとうございます)に教えて頂いたレジストリー設定で、IE9のインターネットオプションにTLS1.1とTLS1.2のチェックボックスを有効にすることができました。
TLS 1.2 のサポートを追加する更新プログラム
XPとVista用ではありませんが、KB4019276の更新プログラムが公開されています。(これはすでにKB4056564に置き換わっています。)
VistaにはServer2008用の更新プログラムをそのままインストールすることが可能です(あくまで自己責任で)。一般のXPにはXP POSReady2009の更新プログラムはインストールできません。
KB4019276の詳細情報に書いてある通り、Vistaでレジストリーに下記エントリをコマンドプロンプト(管理者)で実行して作成してみましたが、IEでTLS1.2のサイトが開くことはありませんでした。
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server" /v DisabledByDefault /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client" /v Enabled /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Server" /v Enabled /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client" /v Enabled /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Server" /v Enabled /t REG_DWORD /d 1 /f
(追記)Vistaではレジストリー項目のある値を削除することで、インターネットオプションの詳細設定タブにTLS1.1とTLS1.2のチェックボックスを表示させることができました。
64bit版 Vistaは4行すべて、32bit版は上2行だけで良いはずです。
REG DELETE "HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1" /v OSVersion /f REG DELETE "HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2" /v OSVersion /f REG DELETE "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1" /v OSVersion /f REG DELETE "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2" /v OSVersion /f
これで、最初に紹介したYahoo!セキュリティページのチェックでは対応済みと出ました。後述しているQualys SSL Labsテストでもsupport TLS 1.2の結果です。しかし、スターバックスのページはそれでも開けませんでした。
IE9でもTLS1.2を有効にすることができることが確認できました。ただし、それ以外ではじかれて表示できないページも多そうです。そもそもIE9では、まともに表示されないサイトが多いです。当ブログもIE9では表示が崩れます。
(参考サイト)TrekkerさんがPOSReadyおよびXPで試している情報を参考にさせて頂いています。
TLS1.2オンリーのサイト
現在はTLS1.0~1.2まで対応しているサイトが多いので、TLS1.2だけで通信できているのかテストするサイトが必要でした。Yahooのページもこれから順次変更していくというので、まだテストには使えません。
スターバックスがすでに暗号化ページはTLS1.2専用にするとアナウンスしているので、コチラのページが開くかどうかで今回テストに利用させて頂きました。
SSL Labsで対応チェック
Qualys SSL Labsというサイトがあり、サーバー側とクライアント側のブラウザーのそれぞれで対応している暗号化プロトコルをテストできます。
サーバーテストは相手に負荷をかけると迷惑なので自重すべきですが、Test Your Browserの方は今見ているブラウザーのテストなので試せます。
サポート終了なので
以上で、XPとVistaでもFirefoxかChromeブラウザーがインストールされていれば、TLS1.2専用サイトが増えていっても問題なさそうです。
問題は再インストール時です。公式ページでなくてもよければ旧バージョンのオフラインインストーラーもダウンロードできそうですが、リカバリー時のまっさらな状態に出処不明なインストーラーは利用したくないので困ってしまうかもしれません。
なにぶんサポート終了OSなので、厳しい状況に追い込まれるのは仕方ないところではありますが。
こんにちは
いつも役立つ情報、有難うございます。
Vistaの場合、Server2008用のKB4056564(KB4019276の上位)を
適用するだけでは、TLS1.1やTLS1.2が有効にならないようです。
iktさんが当記事中に書かれているレジストリエントリの追加をし、
さらに次に記載のレジストリエントリの削除と、インターネット
オプションの変更がいります。
「TSL11-12_OSVersion_Delete.bat」で「OSVersion」を削除し、
次にIE9の「インターネットオプション」、「詳細設定」で
「TLS 1.1 の使用」と「TLS 1.2 の使用」にチェックを入れると、
TLS1.1とTLS1.2が有効になります。
「Qualys SSL Labs」のサイトでTLS1.2が有効か確認出来ない場合、
次のサイトでも確認出来ます。
TLSバージョンチェックツール (テレコムクレジット)
https://versioncheck.telecomcredit.co.jp/
TLS1.2について(チェック機能付)(Yahoo!セキュリティセンター)
https://security.yahoo.co.jp/news/tls12.html
「TSL11-12_OSVersion_Delete.bat」
——————–
REG DELETE “HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1” /v OSVersion /f
REG DELETE “HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2” /v OSVersion /f
——————–
「TSL11-12_OSVersion_Default.bat」
——————–
REG ADD “HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1” /v OSVersion /t REG_SZ /d 3.6.1.0.0 /f
REG ADD “HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2” /v OSVersion /t REG_SZ /d 3.6.1.0.0 /f
——————–
Trekkerさん、いつも情報ありがとうございます。
Vista 64bitでKB4056564をインストールした状態でTSL11-12_OSVersion_Default.batで追加すべきOSVersionの3.6.1.0.0の値は最初から存在していました。
稔のため一旦削除して追加してみましたが、IE9の詳細オプションにTLS1.1/1.2のチェックボックスは追加されませんでした。
TLS1.2のサイトも開けないままです。
もう少しいろいろ試してみます。
少しわかりにくい表現と、32bit版Vistaでのレジストリの操作方法です。
すみませんでした。
64bit版Vistaの場合は、レジストリエントリの削除がさらに増えます。
下記の「TSL11-12_OSVersion_Delete.bat」と
「x64_TSL11-12_OSVersion_Delete.bat」の
2つのバッチファイルで「”OSVersion”=”3.6.1.0.0″」のレジストリ項目を
削除します。
(レジストリエディタから確認しながら操作する方がよいかもしれません。)
これで、インターネットオプション、詳細のTLS1.1/1.2のチェックボックスが
表示されるはずです。
「TSL11-12_OSVersion_Delete.bat」
——————–
REG DELETE “HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1” /v OSVersion /f
REG DELETE “HKLM\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2” /v OSVersion /f
——————–
「x64_TSL11-12_OSVersion_Delete.bat」
——————–
REG DELETE “HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.1” /v OSVersion /f
REG DELETE “HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AdvancedOptions\CRYPTO\TLS1.2” /v OSVersion /f
——————–
Trekkerさん、ありがとうございます。
64bit VistaのIEでTLS1.1と1.2のチェックが出てきました。
Yahoo!セキュリティのチェックでは対応済みと出ました。
Qualys SSL LabsではインターネットプロパティでTLS1.2のみチェックを入れるとsupport TLS 1.2の結果です。TLS1.0/1.1/1.2にチェックを入れるとなぜかNGです。
スターバックスのページはそれでも開けませんでした。
一部サイトとはいえTLS1.2に対応できた結果となりました。
記事に追加させていただきます。いつもありがとうございます。
(追記)PCを再起動したらQualys SSL LabsでTLS1.0/1.1/1.2にチェックでOKになりました。