OktaによるTLS 1.1対応ブラウザーのサポート終了

Oktaでは、信頼できるサービスが重要な業務に欠かせないものであると認識しています。環境のセキュリティを確保することは最優先事項です。2018年2月13日、業界のベスト・プラクティスに準拠し、Transport Layer Security(TLS)のサポートのためにインフラストラクチャを変更するというOktaの計画についてお知らせしました。具体的には、2018年8月1日より、OktaはTLS 1.2接続のみをサポートし、セキュリティ上の脆弱性があるためTLS 1.0・1.1のサポートを停止します。

この記事では、Organization内のMicrosoft Internet Explorerブラウザーに対して、場合により加える必要がある変更について説明します。すべてのOkta製品およびエージェントに関するTLS 1.2関連の情報、およびスケジュールについては、「TLS 1.2への移行」を参照してください。

考えられるOrgへの影響

ブラウザーのバージョン

  • 最大の脆弱性: Internet Explorer 10は、デフォルトでTLS 1.1を使用するように設定されています。OktaでIE 10を引き続き使用するには(およびIE 10を実行するシステムで組み込みブラウザーを引き続き使用するには)、TLS 1.2を使用するようにブラウザーが構成されていることを確認する必要があります([Tools(ツール)][Internet Options(インターネット・オプション)][Advanced(詳細設定)][Security(セキュリティ)])。Group Policy Object(GPO)などの管理ツールを使用して、企業全体の複数のワークステーションのIEオプションを更新できます。詳細については、「複数のワークステーションでIEを更新する」を参照してください。
  • Internet Explorer 11は、デフォルトでTLS 1.2を使用するように設定されています。TLS 1.1以前を使用するようにIE 11ブラウザーを変更する場合は、TLS 1.2を使用するようにブラウザーを構成する必要があります([Tools(ツール)][Internet Options(インターネット・オプション)][Advanced(詳細設定)][Security(セキュリティ)])。
  • 組み込みのIEブラウザーを使用するクライアント(Microsoft Office 2016シック・クライアントなど)は、TLS 1.2を使用するように構成されたIEブラウザーを備えたシステムで正しく動作します。IE10はデフォルトではTLS 1.2を使用するように構成されていないため、TLS 1.2を使用するように構成しない限り、組み込みのIE 10ブラウザーを使用するクライアントではエラーが発生するので注意してください。
  • Edge:Edgeのすべてのバージョンは、TLS 1.2を使用するように事前構成されています。
  • Chrome、Firefox、およびSafari:これらのブラウザーの最新バージョンはすべて、TLS 1.2を使用するように事前構成されています。

Windowsレジストリーを通じてTLS 1.2を無効にした場合は、レジストリーを更新する

Windowsレジストリーを通じてTLS 1.2を無効にした場合にのみ、レジストリーを更新する必要があります。これがOrgのワークステーションに当てはまる場合は、レジストリーを次の値で更新して、エンドユーザーがOktaおよびOktaで管理されるアプリに引き続きアクセスできるようにします。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

複数のワークステーションでIEを更新する

環境に適している場合、GPOなどのサード・パーティーの管理ツールを使用して、企業全体の複数のワークステーションでIEオプションを更新できます。

(Microsoftの記事の「Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 for Internet Explorer in Group Policy」 の手順から):

  1. [Group Policy Management(グループ・ポリシーの管理)]を開きます。
  2. [Group Policy Management Editor(グループ・ポリシー管理エディター)]で、以下の設定を参照します。
  3. [Group Policy Management Editor(コンピューターの構成)][Administrative Templates(管理用テンプレート)][Windows Components(Windowsコンポーネント)][Internet Explorer][Internet Control Panel(インターネット・コントロール・パネル)][Advanced(詳細設定)] ページ[Turn off encryption support(暗号化サポートを無効にする)]

  4. [Turn off encryption support(暗号化サポートを無効にする)]設定をダブルクリックして、設定を編集します。
  5. [Enabled(有効)]をクリックします。
  1. [Options(オプション)]ウィンドウで、[Secure Protocol combinations(安全なプロトコルの組み合わせ)]設定を、[Use TLS 1.0, TLS 1.1, and TLS 1.2(TLS 1.0、TLS 1.1、およびTLS 1.2を使用)]など、TLS 1.2を有効にする適切な設定に変更します。
  2. 注:連続するバージョンをオンにすることが重要です。連続するバージョンを選択しない場合(たとえば、TLS 1.0と1.2をオンにし、1.1はオンにしない場合)、接続エラーが発生する可能性があります。

  3. [OK]をクリックします。

.NETでTLS 1.2を有効にする

TLS 1.2は、.NET 4.6以降でサポートされています。システムにインストールされている.NETのバージョンを確認するには:

  1. regedit.exeを使用してレジストリーを開きます。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319に移動します。

    注:最後の数値は若干異なる場合があります。

    このキーが見つからない場合、.NET 4.6はインストールされていません。

  3. このキーの下でキーSKUを検索し、その下で.NETFramework,Version=v4.6を探します。

    このキーが存在しない場合、.NET 4.6はシステムに存在しません。

.NET 4.6.2のインストーラーへのリンクを次に示します:https://www.microsoft.com/ja-jp/download/details.aspx?id=53344

TLS 1.2を設定するには、レジストリーを次のように編集します。

  1. regedit.exeを使用してレジストリーを開きます。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319に移動します。

    注:最後の数値は若干異なる場合があります。

  3. 以下に示すように、.NET 4.0レジストリー・オプションの下にSchUseStrongCryptoレジストリーDWORDを追加します。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

    "AspNetEnforceViewStateMac"=dword:00000001

    "SchUseStrongCrypto"=dword:00000001

ADFSを使用している場合、.NETでTLS 1.2を有効にした後、サービスを再起動する必要があります。

関連項目

サポートされるプラットフォーム、ブラウザー、およびオペレーティングシステム

Okta Browser Pluginをサイレントインストールする

Okta Browser Pluginを構成する

Okta Browser Pluginのバージョン履歴