OktaによるTLS 1.1対応ブラウザーのサポート終了

Oktaでは、信頼できるサービスが重要な業務に欠かせないものであると認識しています。環境のセキュリティを確保することは最優先事項です。2018年2月13日、業界のベスト・プラクティスに準拠し、Transport Layer Security（TLS）のサポートのためにインフラストラクチャを変更するというOktaの計画についてお知らせしました。具体的には、2018年8月1日より、OktaはTLS 1.2接続のみをサポートし、セキュリティ上の脆弱性があるためTLS 1.0・1.1のサポートを停止します。

この記事では、Organization内のMicrosoft Internet Explorerブラウザーに対して、場合により加える必要がある変更について説明します。すべてのOkta製品およびエージェントに関するTLS 1.2関連の情報、およびスケジュールについては、「TLS 1.2への移行」を参照してください。

考えられるOrgへの影響

ブラウザーのバージョン

最大の脆弱性： Internet Explorer 10は、デフォルトでTLS 1.1を使用するように設定されています。OktaでIE 10を引き続き使用するには（およびIE 10を実行するシステムで組み込みブラウザーを引き続き使用するには）、TLS 1.2を使用するようにブラウザーが構成されていることを確認する必要があります（［Tools（ツール）］［Internet Options（インターネット・オプション）］［Advanced（詳細設定）］［Security（セキュリティ）］）。Group Policy Object（GPO）などの管理ツールを使用して、企業全体の複数のワークステーションのIEオプションを更新できます。詳細については、「複数のワークステーションでIEを更新する」を参照してください。

Internet Explorer 11は、デフォルトでTLS 1.2を使用するように設定されています。TLS 1.1以前を使用するようにIE 11ブラウザーを変更する場合は、TLS 1.2を使用するようにブラウザーを構成する必要があります（［Tools（ツール）］［Internet Options（インターネットオプション）］［Advanced（詳細設定）］［Security（セキュリティ）］）。
組み込みのIEブラウザーを使用するクライアント（Microsoft Office 2016シック・クライアントなど）は、TLS 1.2を使用するように構成されたIEブラウザーを備えたシステムで正しく動作します。IE10はデフォルトではTLS 1.2を使用するように構成されていないため、TLS 1.2を使用するように構成しない限り、組み込みのIE 10ブラウザーを使用するクライアントではエラーが発生するので注意してください。
Edge：Edgeのすべてのバージョンは、TLS 1.2を使用するように事前構成されています。
Chrome、Firefox、およびSafari：これらのブラウザーの最新バージョンはすべて、TLS 1.2を使用するように事前構成されています。

Windowsレジストリーを通じてTLS 1.2を無効にした場合は、レジストリーを更新する

Windowsレジストリーを通じてTLS 1.2を無効にした場合にのみ、レジストリーを更新する必要があります。これがOrgのワークステーションに当てはまる場合は、レジストリーを次の値で更新して、エンドユーザーがOktaおよびOktaで管理されるアプリに引き続きアクセスできるようにします。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

複数のワークステーションでIEを更新する

環境に適している場合、GPOなどのサード・パーティーの管理ツールを使用して、企業全体の複数のワークステーションでIEオプションを更新できます。

（Microsoftの記事の「Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 for Internet Explorer in Group Policy」の手順から）：

［Group Policy Management（グループポリシーの管理）］を開きます。
［Group Policy Management Editor（グループポリシーの管理エディター）］で、［Computer Configuration（コンピューターの構成）］［Administrative Templates（管理用テンプレート）］［Windows Components（Windowsコンポーネント）］［Internet Explorer］［Internet Control Panel（インターネット・コントロール・パネル）］［Advanced Page（詳細設定ページ）］［Turn off encryption support（暗号化サポートを無効にする）］を参照します。
［Turn off encryption support（暗号化サポートを無効にする）］設定をダブルクリックして、設定を編集します。
［Enabled（有効）］をクリックします。
［Options（オプション）］ウィンドウで、［Secure Protocol combinations（安全なプロトコルの組み合わせ）］設定を、［Use TLS 1.0, TLS 1.1, and TLS 1.2（TLS 1.0、TLS 1.1、およびTLS 1.2を使用）］など、TLS 1.2を有効にする適切な設定に変更します。
注：連続するバージョンをオンにすることが重要です。連続するバージョンを選択しない場合（たとえば、TLS 1.0と1.2をオンにし、1.1はオンにしない場合）、接続エラーが発生する可能性があります。
［OK］をクリックします。

.NETでTLS 1.2を有効にする

TLS 1.2は、.NET 4.6以降でサポートされています。システムにインストールされている.NETのバージョンを確認するには：

regedit.exeを使用してレジストリーを開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319に移動します。
注：最後の数値は若干異なる場合があります。
このキーが見つからない場合、.NET 4.6はインストールされていません。
このキーの下でキーSKUを検索し、その下で.NETFramework,Version=v4.6を探します。
このキーが存在しない場合、.NET 4.6はシステムに存在しません。

.NET 4.6.2のインストーラーへのリンクを次に示します：https://www.microsoft.com/ja-jp/download/details.aspx?id=53344。

TLS 1.2を設定するには、レジストリーを次のように編集します。

regedit.exeを使用してレジストリーを開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319に移動します。
注：最後の数値は若干異なる場合があります。
以下に示すように、.NET 4.0レジストリーオプションの下にSchUseStrongCryptoレジストリーDWORDを追加します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"AspNetEnforceViewStateMac"=dword:00000001
"SchUseStrongCrypto"=dword:00000001