SSL/TLS暗号設定ガイドライン - 62
SSL/TLS暗号設定ガイドライン - 63
Microsoft Internet Explorer 11
Microsoft Edge
Apple Safari 最新版
Google Chrome 最新版
Mozilla Firefox 最新版
Mobile Safari(iOS)
8.2 設定に関する確認項目
8.2.1 基本原則
8.1 節で対象とするブラウザは、インストール時のデフォルト設定で利用することを各ベンダ は推奨しているので、企業の情報システム担当からの特別な指示がある場合などを除き、原則と してデフォルト設定を変えずに利用することを強く推奨する。
【基本原則】
ベンダがサポートしているブラウザであって、更新プログラムを必ず適用し、最新状態に して利用する
自動更新を有効化しておく
企業の情報システム担当からの特別な指示がある場合などに限り、社内ポリシーに従う
8.2.2 設定項目
設定項目を標準機能で提供していないブラウザ
以下のブラウザは、設定変更オプションが提供されておらず、そもそも設定変更ができない。
PC版Webブラウザ
Apple Safari
Google Chrome
スマートフォンに含まれるWebブラウザ
Google Chrome
Mobile Safari (iOS)
設定項目を標準機能で提供しているブラウザ
以下のブラウザは、設定変更オプションが提供されている。ただし、特別な指示がない限り、
デフォルト設定を変更すべきではない。
Microsoft Internet Explorer/Microsoft Edge
他のブラウザとは異なり、Internet ExplorerとMicrosoft Edgeでは、
“ツール”→“インターネットオプション”→“詳細設定”
SSL/TLS暗号設定ガイドライン - 64
を選択すると多数の設定項目が表示され、ユーザが細かく設定できるようになってはいる。
しかし、安全性を考慮してデフォルト設定が行われていることから、特段の理由がない場 合に設定を変更することは推奨しない。
【プロトコルバージョンの設定】
“ツール”→“インターネットオプション”→“詳細設定”を選択した後、設定項目を“セ キュリティ”までスクロールさせると、「SSL3.0を使用する」「TLS1.0を使用する」「TLS1.1 を使用」「TLS1.2を使用」等といったチェックボックスが表示される。ここでのチェックボ ックスにチェックが入っているプロトコルバージョンが、ブラウザが使うことができるプ ロトコルバージョンとなる。以下は、Windows10 Internet Explorer 11の設定画面である。
Firefox
Firefoxでは、サーバ証明書の検証、失効機能においてどのように処理するかの動作につ
いてのみ設定方法を提供している。この設定については、
“メニュー”→“オプション”→“プライバシーとセキュリティ”→“証明書”
を選択することで設定方法へのダイアログが表示される。
デフォルトの設定は以下のようになっており、特段の理由がない場合に変更することは 推奨しない。
SSL/TLS暗号設定ガイドライン - 65
8.3 ブラウザ利用時の注意点
8.3.1 SHA-1 を利用するサーバ証明書の警告表示
CA/ブラウザフォーラムでは、2016年1月1日以降、パブリック認証局はSHA-1で署名された
サーバ証明書を発行しないことが決められている。このため、ブラウザベンダ各社では、SHA-1 で署名されたサーバ証明書を無効化する対処をしている。
詳しくは以下のとおりである。
Microsoft Internet Explorer/Microsoft Edge
2017年5月9日に公開した更新版で、Internet Explorer 11、Edgeでは、SHA-1で署名され たサーバ証明書の無効化をしている[ 45]
Google Chrome
Chrome56からSHA-1で署名されたサーバ証明書の無効化をしている[ 46]
Firefox
Firefox36からSHA-1で署名されたサーバ証明書の無効化をしている[ 47]
[45] https://technet.microsoft.com/ja-jp/library/security/4010323
[46] https://security.googleblog.com/2016/11/sha-1-certificates-in-chrome.html
[47] https://www.fxsitecompat.com/en-CA/docs/2016/sha-1-certificates-issued-by-public-ca-will-no-longer-be-accepted/
SSL/TLS暗号設定ガイドライン - 66