Windows Server 2016でカスタム暗号スイートの順序をデプロイする方法

  • [アーティクル]

この記事では、Schannel のカスタム暗号スイートの順序をWindows Server 2016にデプロイするのに役立つ情報を提供します。

適用対象: Windows Server 2016
元の KB 番号: 4032720

概要

Windows で Schannel 用に独自の暗号スイートの順序をデプロイするには、最初にこれらを一覧表示して、HTTP/2 と互換性のある暗号スイートに優先順位を付ける必要があります。 HTTP/2 (RFC 7540) ブロック リストにある暗号スイートは、一覧の下部に表示する必要があります。 例:

暗号ブロック チェーン (CBC) モードの暗号スイート:

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

非 PFS (完全な前方秘密) 暗号スイート:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

ブロック リストにある暗号スイートが一覧の先頭に一覧表示されている場合、HTTP/2 クライアントとブラウザーは、HTTP/2 互換の暗号スイートをネゴシエートできない可能性があります。 これにより、プロトコルの使用に失敗します。

たとえば、Chrome を使用すると、エラー ERR_SPDY_INADEQUATE_TRANSPORT_SECURITYが表示される場合があります。

Windows Server 2016の既定の順序は、HTTP/2 暗号スイートの基本設定と互換性があります。 さらに、この順序は、最も強力なセキュリティ特性を持つ暗号スイートを優先しているため、HTTP/2 を超えて優れた順序付けになります。 したがって、既定の順序では、Windows Server 2016の HTTP/2 に、ブラウザーとクライアントとの暗号スイート ネゴシエーションの問題がないことを確認します。

回避策

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

プロトコルの使用に失敗した場合は、暗号スイートの順序を変更するときに HTTP/2 を一時的に無効にする必要があります。

HTTP/2 を有効または無効にするには、次の手順に従います。

  1. regedit (レジストリ エディター) を開始します。
  2. このサブキーに移動します。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
  3. DWORD 型の値 EnableHttp2Tls を次のいずれかに設定します。
    • HTTP/2 を無効にするには、0 に設定します。
    • HTTP/2 を有効にするには、値を 1 に設定します。
  4. コンピューターを再起動します。

関連情報