Google ChromeでProselfをご利用のお客様へ(更新)
-
2015/09/02
2015/09/11更新
平素はProselfをご利用いただきまして、誠にありがとうございます。
先日リリースされたGoogle Chrome 45にて行われたlogjam脆弱性対応にて、DHE(Diffie-Hellman鍵共有)が含まれた暗号化スイートでのHTTPS接続が拒否されるようなった結果、以下の条件をすべて満たす環境でGoogle ChromeからProselfに対してHTTPS接続が出来ない事象が確認されています。これは先日ご案内したFirefox 39.0以降の挙動と同様です。
【Proself Ver.4をご利用の場合】
- Proselfインストール時のバージョンがVer4.22以前である
- Proselfインストールフォルダ/conf/server.xml内92行目付近「ciphers=~」内を変更していない
【Proself Ver.3をご利用の場合】
- ProselfサーバーにインストールしているJavaのバージョンがJava6 UpdateXXである
- Proselfインストールフォルダ/conf/server.xml内92行目付近「ciphers=~」内を変更していない
以下の手順に沿ってProselfサーバーの設定変更することで暫定的ではありますがGoogle Chromeからの接続が可能となります。なお、変更内容の反映にはProselfのサービス再起動が必要となります。
一方、昨今のセキュリティ事情を考えると暫定対応では将来ブラウザのバージョンアップによって今回のように接続できなくなる、という可能性がございますため現時点で最適な暗号化スイートに変更することをおすすめします。最適な暗号化スイートに変更する方法はこちらをご覧ください。ただし最適な暗号化スイートに変更するにはJavaおよびProselfのアップデートが必要な場合がございますことをご留意ください。
なお、以下に記載している手順はFirefox 39.0以降の対策と同一です。そのためFirefox 39.0以降の対策をされているお客様は本手順を行わなくてもGoogle Chrome 45以降で接続可能です。
(2015/09/11追記)
Proselfの設定変更を行って回避する方法(暫定対応)のVer.4の場合の「server.xml編集後」の内容に誤りがあったので修正しました。申し訳ありませんでした。
設定方法目次
●Proselfの設定変更を行って回避する方法(暫定対応)
以下の手順に沿って設定変更ください。
○Ver.4の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself4"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself4"となります。
【変更手順】
1.Proselfをインストールしたサーバーにログインします。
2.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
3.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」内から「TLS_DHE_RSA_WITH_AES_128_CBC_SHA」「SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA」を除外しています。
4.Proselfのサービスを再起動します。
5.Google Chromeでhttps接続できることを確認します。
○Ver.3の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself3"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself3"となります。
【変更手順】
1.Proselfをインストールしたサーバーにログインします。
2.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
3.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を追加しています。
4.Proselfのサービスを再起動します。
5.Google Chromeでhttps接続できることを確認します。
●現時点で最適な暗号化スイートに変更する方法(おすすめ)
以下の手順に沿って設定変更ください。
○Ver.4の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself4"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself4"となります。
【変更手順】
1.Proselfのアップデートを実施し、最新バージョンにします。なお、Ver4.21以降HTTPS接続においてSSLv3での接続が出来なくなります。詳細は以下をご確認ください。
http://www.proself.jp/information/53
2.Proselfをインストールしたサーバーにログインします。
3.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
4.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を変更しています。
5.ProselfにインストールしているJavaのバージョンを最新(Java8)にアップデートします。Javaのアップデート時の注意点については以下をご覧ください。
http://www.proself.jp/support/faq281
6.Proselfのサービスを再起動します。
7.Google Chromeでhttps接続できることを確認します。
○Ver.3の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself3"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself3"となります。
【変更手順】
1.Proselfのアップデートを実施し、最新バージョンにします。なお、Ver3.59以降HTTPS接続においてSSLv3での接続が出来なくなります。詳細は以下をご確認ください。
http://www.proself.jp/information/53
2.Proselfをインストールしたサーバーにログインします。
3.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
4.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を追加しています。
5.ProselfにインストールしているJavaのバージョンを最新(Java8)にアップデートします。Javaのアップデート時の注意点については以下をご覧ください。
http://www.proself.jp/support/faq281
6.Proselfのサービスを再起動します。
7.Google Chromeでhttps接続できることを確認します。