原因
上記のような事象は、以下原因によって発生します。
- DSA が TLS/SSL の再ネゴシエーション (Re-Negotiation) をサポートしていない
- 対象の Web サーバが、クライアント認証を再ネゴシエーション時に行う仕様を持っている場合
一部のDSA では TLS/SSL の再ネゴシエーションをサポートしていません。そのため、初回のハンドシェイクが完了後、サーバから送信される Hello Request メッセージは DSA によってブロックされます。
そして、証明書によるクライアント認証を行うよう設定している Web サーバ側が、クライアントへの Certificate Request メッセージを初回のハンドシェイク内で送信せず、再ネゴシエーション時に送信する仕様を持っている場合は、再ネゴシエーションが成功しないため、結果として通信ができない、という事象が発生します。
下記のDSAでは TLS/SSL の再ネゴシエーションをサポートしているため、上記のようなブロック動作は行われません。よって、対象の環境においても、上記のような事象は発生しません。
DSA 12.0 (Update 6 以降)
DSA 20.0
下記のDSAでは TLS/SSL の再ネゴシエーションをサポートしているため、上記のようなブロック動作は行われません。よって、対象の環境においても、上記のような事象は発生しません。
DSA 12.0 (Update 6 以降)
DSA 20.0
回避策/対応策
Microsoft IIS などをご利用の場合は、以下回避策の実施をご検討ください。
- バイパスルールの利用
- 上記のような仕様を持たない Web サーバの利用
- 上記DSAへのバージョンアップ
ご利用の Web サーバの仕様や設定方法に関する詳細は、Web サーバベンダーにお問い合わせください。