FirefoxでProselfをご利用のお客様へ
-
2015/07/07
平素はProselfをご利用いただきまして、誠にありがとうございます。
先日リリースされたFirefox 39.0にて行われたlogjam脆弱性対応にて、DHE(Diffie-Hellman鍵共有)が含まれた暗号化スイートでのHTTPS接続が拒否されるようなった結果、以下の条件をすべて満たす環境でFirefoxからProselfに対してHTTPS接続が出来ない事象が確認されています。
【Proself Ver.4をご利用の場合】
1. Proselfインストール時のバージョンがVer4.22以前である
2. Proselfインストールフォルダ/conf/server.xml内92行目付近「ciphers=~」内を変更していない
【Proself Ver.3をご利用の場合】
1. ProselfサーバーにインストールしているJavaのバージョンがJava6 UpdateXXである
2. Proselfインストールフォルダ/conf/server.xml内92行目付近「ciphers=~」内を変更していない
※「ciphers=~」を変更していた場合でも内容によってはFirefoxから接続できない可能性がございます。ご不明な場合は弊社までお問い合わせ下さい。
以下の手順に沿ってProselfサーバーの設定変更することで暫定的ではありますがFirefoxからの接続が可能となります。なお、変更内容の反映にはProselfのサービス再起動が必要となります。
一方、昨今のセキュリティ事情を考えると暫定対応では将来ブラウザのバージョンアップによって今回のように接続できなくなる、という可能性がございますため現時点で最適な暗号化スイートに変更することをおすすめします。最適な暗号化スイートに変更する方法はこちらをご覧ください。ただし最適な暗号化スイートに変更するにはJavaおよびProselfのアップデートが必要な場合がございますことをご留意ください。
また、以下の手順にそってFirefoxの設定変更を行って回避することも可能です。
設定方法目次
1. Proselfの設定変更を行って回避する方法(暫定対応)
2. 現時点で最適な暗号化スイートに変更する方法(おすすめ)
3. Firefoxの設定変更を行って回避する方法(暫定対応)
●Proselfの設定変更を行って回避する方法(暫定対応)
以下の手順に沿って設定変更ください。
○Ver.4の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself4"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself4"となります。
【変更手順】
1.Proselfをインストールしたサーバーにログインします。
2.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
3.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」内から「TLS_DHE_RSA_WITH_AES_128_CBC_SHA」「SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA」を除外しています。
4.Proselfのサービスを再起動します。
5.Firefoxでhttps接続できることを確認します。
○Ver.3の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself3"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself3"となります。
【変更手順】
1.Proselfをインストールしたサーバーにログインします。
2.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
3.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を追加しています。
4.Proselfのサービスを再起動します。
5.Firefoxでhttps接続できることを確認します。
●現時点で最適な暗号化スイートに変更する方法(おすすめ)
以下の手順に沿って設定変更ください。
○Ver.4の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself4"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself4"となります。
【変更手順】
1.Proselfのアップデートを実施し、最新バージョンにします。なお、Ver4.21以降HTTPS接続においてSSLv3での接続が出来なくなります。詳細は以下をご確認ください。
http://www.proself.jp/information/053
2.Proselfをインストールしたサーバーにログインします。
3.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
4.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を変更しています。
5.ProselfにインストールしているJavaのバージョンを最新(Java8Update45)にアップデートします。Javaのアップデート時の注意点については以下をご覧ください。
http://www.proself.jp/support/faq281/
6.Proselfのサービスを再起動します。
7.Firefoxでhttps接続できることを確認します。
○Ver.3の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself3"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself3"となります。
【変更手順】
1.Proselfのアップデートを実施し、最新バージョンにします。なお、Ver3.59以降HTTPS接続においてSSLv3での接続が出来なくなります。詳細は以下をご確認ください。
http://www.proself.jp/information/053
2.Proselfをインストールしたサーバーにログインします。
3.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
4.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を追加しています。
5.ProselfにインストールしているJavaのバージョンを最新(Java8Update45)にアップデートします。Javaのアップデート時の注意点については以下をご覧ください。
http://www.proself.jp/support/faq281/
6.Proselfのサービスを再起動します。
7.Firefoxでhttps接続できることを確認します。
●Firefoxの設定変更を行って回避する方法(暫定対応)
以下の手順に沿って設定変更ください。
1.Firefoxを起動し、URL入力欄に「about:config」と入力します。
2.検索テキストボックス内に「security.ssl3.dhe_rsa_aes_128_sha」と入力します。
3.2で表示された結果を右クリックし「切り替え」をクリック後、値が「false」になっていることを確認します。
4.検索テキストボックス内に「security.ssl3.dhe_rsa_des_ede3_sha」と入力します。
5.4で表示された結果を右クリックし「切り替え」をクリック後、値が「false」になっていることを確認します。
6.Firefoxを再起動します。
7.Proselfにアクセスできることを確認します。