ビジネスサポートポータルアカウントでログイン
SSL資格情報のインポート後に「サポートされていない暗号化 / Unsupported Cipher」が記録される  

SSL資格情報のインポート後に「サポートされていない暗号化 / Unsupported Cipher」が記録される

    • 更新日:
    • 10 Sep 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • N/A N/A
概要
SSL資格情報をインポート後にIPS(DPI)イベントに「サポートされていない暗号化 / Unsupported Cipher」が記録されます。原因と対策について教えてください。
詳細
Public

原因

ユーザガイド記載の通り、イベント「サポートされていない暗号化 / Unsupported Cipher」は、不明またはサポートされていない暗号化スイートが要求された際にイベントとして記録されます。例えば、Firefox の初期設定では Deep Securityでサポートしていない Diffie-Hellman 鍵交換アルゴリズムが使用されます。

Deep Security(以下、DS) 10.0以降から、管理者ガイド、インストールガイドなどのドキュメントは無く、Deep Securityヘルプセンターで情報を公開しています。DS10.0以降をご利用の場合は、Deep Securityヘルプセンターをご参照ください。

対策

本現象の回避のためには、ブラウザ、または、Web サーバで Deep Security がサポートしていない暗号化スイートを使用しないように設定の変更を行う必要があります。Deep Security がサポートしている暗号化スイートは、以下の製品Q&Aを参照してください。

上記ページに記載していない暗号化スイートの使用が必須ではないと判断できる場合、下記のような設定変更を行ってください。

詳細すべて確認

クライアント側にてFirefox ブラウザを使用している場合の設定例

  1. ロケーションバーに about:config と入力し、[Enter]([Return]) キーを押します。
  2. [フィルタ(F)] 欄に 「security.ssl3.dhe_」 と入力します。
  3. 設定一覧に "security.ssl3.dhe_" を含む一覧が表示されます。値が true になっている設定を全て false(無効)に変更します。
  4. 同様に「camellia」を含む設定も全てfalse(無効)に変更します。
  5. 変更を正しく反映させるため、Firefox を終了して再起動します。

Web サーバとして Apache を利用している場合の設定例

設定ファイル ssl.conf 内の「SSLCipherSuite」パラメータをDeep Securityにてサポートされている暗号化スイートのみに変更して、Apache を再起動します。(VirtualHostで複数のSSLサイトを構成している場合は、各VirtualHostに設定する必要があります。)

例) SSLCipherSuite RC4-SHA:RC4-MD5:AES128-SHA:AES256-SHA

※Web サーバの設定変更については、ご担当者とご相談の上で実施をお願いします。

Web サーバとして IIS を利用している場合の設定例

本例はWindows server 2008R2/IIS7.5での設定例となります。本設定に関しましてはIIS側の設定となります。詳細に関しましてはこちら(リンク先はマイクロソフト社様のURLとなります。該当ページ記載の内容に関しましてはマイクロソフト社様へお問合せください。)などを参照ください。
    1. 「スタート」-「ファイル名を指定して実行」から"gpedit.msc"を入力し、グループポリシーエディタを開きます。

    2. [コンピューターの構成]→[管理用テンプレート]→[ネットワーク]→[SSL構成設定]を開きます。
      グループポリシーエディタ

    3. [SSL暗号の順位]を開き、「有効」を選択してオプションの「SSL暗号」にDeep Securityにてサポートされている暗号化スイートのみを入力します。例として次の値を入力して[OK]をクリックします。

      TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_RC4_128_MD5

      SSL暗号の順位

    4. コマンドプロンプトで「gpupdate /force」を実行して、ポリシー変更を適用します。
    5. サーバを再起動します。

    ※Web サーバの設定変更については、ご担当者とご相談の上で実施をお願いします。
    Premium
    Internal
    評価:
    カテゴリ:
    動作トラブル; 操作方法/設定
    Solution Id:
    1310265
    ご提案/ご意見
    このソリューションはお役に立ちましたか?

    フィードバックありがとうございました!

    いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
    入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

    *こちらに技術的なご質問などをいただきましてもご返答する事ができません.

    何卒ご了承いただきますようお願いいたします.


    To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
    We will not send you spam or share your email address.

    *This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


    ユーザーガイド