カスタム暗号スイートの順序付けをユーザー設定で展開するWindows Server 2016

この記事では、Schannel のカスタム暗号スイートの順序付けを展開する際に役立つ情報をWindows Server 2016。

適用対象:  Windows Server 2016
元の KB 番号:   4032720

概要

Schannel の独自の暗号スイート順序を Windows に展開するには、最初にリストすることで HTTP/2 と互換性のある暗号スイートに優先順位を付ける必要があります。 HTTP/2 (RFC 7540) ブロック リストにある暗号スイートは、リストの下部に表示される必要があります。 以下に例を示します。

暗号ブロック チェーン (CBC) モードの暗号スイート:

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

非 PFS (完全な前方秘密) 暗号スイート:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA _WITH_AES_128_GCM_SHA256

ブロック リストにある暗号スイートがリストの一番上に表示されている場合、HTTP/2 クライアントとブラウザーは HTTP/2 互換の暗号スイートをネゴシエートできない場合があります。 これにより、プロトコルの使用に失敗します。

たとえば、Chrome を使用すると、エラー メッセージが表示ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY。

HTTP/2 暗号スイートWindows Server 2016の既定の順序は、HTTP/2 暗号スイートの基本設定と互換性があります。 さらに、この順序は HTTP/2 を超えて優れたもので、最も強力なセキュリティ特性を持つ暗号スイートが優れたものになっています。 したがって、既定の順序では、http/2 on Windows Server 2016ブラウザーとクライアントとの暗号スイートネゴシエーションの問題が発生しません。

回避策

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「レジストリをバックアップおよび復元する方法」を参照Windows。

プロトコルの使用に失敗した場合は、暗号スイートを並べ替える間に HTTP/2 を一時的に無効にする必要があります。

HTTP/2 を有効または無効にするには、次の手順を実行します。

  1. regedit (レジストリ エディター) を起動します。
  2. このサブキーに HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters 移動します。
  3. DWORD 型の値 EnableHttp2Tls を次のいずれかの値に設定します。
    • HTTP/2 を無効にするには、0 に設定します。
    • HTTP/2 を有効にするには、値を 1 に設定します。
  4. コンピューターを再起動します。

関連情報