原因
ユーザガイド記載の通り、イベント「サポートされていない暗号化 / Unsupported Cipher」は、不明またはサポートされていない暗号化スイートが要求された際にイベントとして記録されます。例えば、Firefox の初期設定では Deep Securityでサポートしていない Diffie-Hellman 鍵交換アルゴリズムが使用されます。
Deep Security(以下、DS) 10.0以降から、管理者ガイド、インストールガイドなどのドキュメントは無く、Deep Securityヘルプセンター で情報を公開しています。DS10.0以降をご利用の場合は、Deep Securityヘルプセンター をご参照ください。
対策
本現象の回避のためには、ブラウザ、または、Web サーバで Deep Security がサポートしていない暗号化スイートを使用しないように設定の変更を行う必要があります。Deep Security がサポートしている暗号化スイートは、以下の製品Q&Aを参照してください。
上記ページに記載していない暗号化スイートの使用が必須ではないと判断できる場合、下記のような設定変更を行ってください。
クライアント側にてFirefox ブラウザを使用している場合の設定例
- ロケーションバーに about:config と入力し、[Enter]([Return]) キーを押します。
- [フィルタ(F)] 欄に 「security.ssl3.dhe_」 と入力します。
- 設定一覧に "security.ssl3.dhe_" を含む一覧が表示されます。値が true になっている設定を全て false(無効)に変更します。
- 同様に「camellia」を含む設定も全てfalse(無効)に変更します。
- 変更を正しく反映させるため、Firefox を終了して再起動します。
Web サーバとして Apache を利用している場合の設定例
設定ファイル ssl.conf 内の「SSLCipherSuite」パラメータをDeep Securityにてサポートされている暗号化スイートのみに変更して、Apache を再起動します。(VirtualHostで複数のSSLサイトを構成している場合は、各VirtualHostに設定する必要があります。)
例) SSLCipherSuite RC4-SHA:RC4-MD5:AES128-SHA:AES256-SHA
※Web サーバの設定変更については、ご担当者とご相談の上で実施をお願いします。
Web サーバとして IIS を利用している場合の設定例
本例はWindows server 2008R2/IIS7.5での設定例となります。本設定に関しましてはIIS側の設定となります。詳細に関しましてはこちら(リンク先はマイクロソフト社様のURLとなります。該当ページ記載の内容に関しましてはマイクロソフト社様へお問合せください。)などを参照ください。
-
- 「スタート」-「ファイル名を指定して実行」から"gpedit.msc"を入力し、グループポリシーエディタを開きます。
- [コンピューターの構成]→[管理用テンプレート]→[ネットワーク]→[SSL構成設定]を開きます。
- [SSL暗号の順位]を開き、「有効」を選択してオプションの「SSL暗号」にDeep Securityにてサポートされている暗号化スイートのみを入力します。例として次の値を入力して[OK]をクリックします。
TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5
-
コマンドプロンプトで「gpupdate /force」を実行して、ポリシー変更を適用します。
-
サーバを再起動します。
- 「スタート」-「ファイル名を指定して実行」から"gpedit.msc"を入力し、グループポリシーエディタを開きます。