OktaによるTLS 1.1対応ブラウザーのサポート終了

Oktaでは、信頼できるサービスが重要な業務に欠かせないものであると認識しています。環境のセキュリティを確保することは最優先事項です。2018年2月13日、業界のベストプラクティスに準拠し、Transport Layer Security（TLS）のサポートのためにインフラストラクチャを変更するというOktaの計画についてお知らせしました。具体的には、2018年8月1日より、OktaはTLS 1.2接続のみをサポートし、セキュリティ上の脆弱性があるためTLS 1.0と1.1のサポートを停止します。

この記事では、Organization内のMicrosoft Internet Explorerブラウザーに対して、場合により加える必要がある変更について説明します。すべてのOkta製品およびエージェントに関するTLS 1.2関連の情報、およびスケジュールについては、「TLS 1.2への移行」を参照してください。

考えられるOrgへの影響

ブラウザーのバージョン

最大の脆弱性： Internet Explorer 10は、デフォルトでTLS 1.1を使用するように設定されています。OktaでIE 10を引き続き使用するには（およびIE 10を実行するシステムで組み込みブラウザーを引き続き使用するには）、TLS 1.2を使用するようにブラウザーが構成されていることを確認する必要があります（ツール（Tools） > インターネットオプション（Internet Options） > 詳細設定（Advanced） > セキュリティ（Security））。Group Policy Object（GPO）などの管理ツールを使用して、企業全体の複数のワークステーションのIEオプションを更新できます。詳細については、複数のワークステーションでIEを更新するを参照してください。

Internet Explorer 11は、デフォルトでTLS 1.2を使用するように設定されています。TLS 1.1以前を使用するようにIE 11ブラウザーを変更する場合は、TLS 1.2を使用するようにブラウザーを構成する必要があります（ツール（Tools） > インターネットオプション（Internet Options） > 詳細設定（Advanced） > セキュリティ（Security））。
組み込みのIEブラウザーを使用するクライアント（Microsoft Office 2016シッククライアントなど）は、TLS 1.2を使用するように構成されたIEブラウザーを備えたシステムで正しく動作します。IE10はデフォルトではTLS 1.2を使用するように構成されていないため、TLS 1.2を使用するように構成しない限り、組み込みのIE 10ブラウザーを使用するクライアントではエラーが発生するので注意してください。
Edge：Edgeのすべてのバージョンは、TLS 1.2を使用するように事前構成されています。
Chrome、Firefox、およびSafari：これらのブラウザーの最新バージョンはすべて、TLS 1.2を使用するように事前構成されています。

Windowsレジストリを通じてTLS 1.2を無効にした場合は、レジストリを更新する

Windowsレジストリを通じてTLS 1.2を無効にした場合にのみ、レジストリを更新する必要があります。これがOrgのワークステーションに当てはまる場合は、レジストリを次の値で更新して、エンドユーザーがOktaおよびOktaで管理されるアプリに引き続きアクセスできるようにします。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000

複数のワークステーションでIEを更新する

環境に適している場合、GPOなどのサードパーティの管理ツールを使用して、企業全体の複数のワークステーションでIEオプションを更新できます。

（こちらのMicrosoftの記事にある「Disable SSL 3.0 and enable TLS 1.0, TLS 1.1, and TLS 1.2 for Internet Explorer in Group Policy」の手順から）：

グループポリシーの管理（Group Policy Management）を開きます。
グループポリシーの管理エディター（Group Policy Management Editor）で、コンピューターの構成（Computer Configuration） > 管理用テンプレート（Administrative Templates） > Windowsコンポーネント（Windows Components） > Internet Explorer > インターネットコントロールパネル（Internet Control Panel） > 詳細設定ページ（Advanced Page） > 暗号化サポートを無効にする（Turn off encryption support）を参照します。
暗号化サポートを無効にする（Turn off encryption support）（Turn off Encryption Support）設定をダブルクリックして、設定を編集します。
有効（Enabled）をクリックします。
オプション（Options）ウィンドウで、安全なプロトコルの組み合わせ（Secure Protocol combinations）設定を、［Use TLS 1.0, TLS 1.1, and TLS 1.2（TLS 1.0、TLS 1.1、およびTLS 1.2を使用）］など、TLS 1.2を有効にする適切な設定に変更します。
注：連続するバージョンをオンにすることが重要です。連続するバージョンを選択しない場合（たとえば、TLS 1.0と1.2をオンにし、1.1はオンにしない場合）、接続エラーが発生する可能性があります。
OKをクリックします。

.NETでTLS 1.2を有効にする

TLS 1.2は、.NET 4.6以降でサポートされています。システムにインストールされている.NETのバージョンを確認するには：

regedit.exeを使用してレジストリを開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 に移動します。
注：最後の数値は若干異なる場合があります。

このキーが見つからない場合、.NET 4.6はインストールされていません。
このキーの下でキーSKUを検索し、その下で.NETFramework,Version=v4.6を探します。
このキーが存在しない場合、.NET 4.6はシステムに存在しません。

.NET 4.6.2のインストーラーへのリンクを次に示します：https://www.microsoft.com/ja-jp/download/details.aspx?id=53344。

TLS 1.2を設定するには、レジストリを次のように編集します。

regedit.exeを使用してレジストリを開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319に進みます。
注：最後の数値は若干異なる場合があります。
以下に示すように、.NET 4.0レジストリオプションの下にSchUseStrongCryptoレジストリDWORDを追加します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]

"AspNetEnforceViewStateMac"=dword:00000001

"SchUseStrongCrypto"=dword:00000001

ADFSを使用している場合、.NETでTLS 1.2を有効にした後、サービスを再起動する必要があります。