Java8 Update60について
-
2015/09/16
平素はProselfをご利用いただきまして、誠にありがとうございます。
先日リリースされたJava8 Update60にて弱い暗号化スイートであるRC4が無効となりました。その結果、過去話題となったBEAST脆弱性の暫定対策を行いその後変更を行っていない環境でJava8 Update60にアップデートするとProselfに対してHTTPS接続が出来ない事象が発生します。
この事象はサーバー側のJavaをJava8 Update60以降にアップデートした場合に発生しますが、クライアント側のJavaをJava8 Update60以降にアップデートした場合にもJava版のドラッグアンドドロップアップロードができなくなるという影響がございます。
以下に該当するお客様は本文書の手順に従って現時点で最適な暗号化スイートに変更することを強く推奨します。
【Java8 Update60にアップデートすると接続できなくなる環境】
- Proselfインストールフォルダ/conf/server.xml内92行目付近「ciphers=~」を変更していて中身が"SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA"のみ記述されている
以下の手順に沿ってProselfサーバーの設定変更することでJava8 Update60以降にアップデートしてもhttps接続が可能となります。本文書は昨今のセキュリティ事情を考え現時点で最適な暗号化スイートに変更する内容になっています。なお、JavaおよびProselfのアップデートが必要な場合があり、変更内容の反映にはProselfのサービス再起動が必要となりますことをご留意ください。
●現時点で最適な暗号化スイートに変更する方法
以下の手順に沿って設定変更ください。
○Ver.4の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself4"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself4"となります。
【変更手順】
1.Proselfのアップデートを実施し、最新バージョンにします。なお、Ver4.21以降HTTPS接続においてSSLv3での接続が出来なくなります。詳細は以下をご確認ください。
http://www.proself.jp/informaion/53-3/
2.Proselfをインストールしたサーバーにログインします。
3.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
4.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を変更しています。
5.ProselfにインストールしているJavaのバージョンを最新(Java8)にアップデートします。Javaのアップデート時の注意点については以下をご覧ください。
http://www.proself.jp/support/faq281
6.Proselfのサービスを再起動します。
7.https接続できることを確認します。
○Ver.3の場合
【設定ファイル】
・Windows系OSの場合
Proselfインストールフォルダ\conf\server.xml
※Proselfインストールフォルダは標準インストールの場合、"C:\Program Files\Proself3"となります。
・Linux系OSの場合
Proselfインストールフォルダ/conf/server.xml
※Proselfインストールフォルダは標準インストールの場合、"/usr/local/Proself3"となります。
【変更手順】
1.Proselfのアップデートを実施し、最新バージョンにします。なお、Ver3.59以降HTTPS接続においてSSLv3での接続が出来なくなります。詳細は以下をご確認ください。
http://www.proself.jp/informaion/53-3/
2.Proselfをインストールしたサーバーにログインします。
3.【設定ファイル】のバックアップを取得します。
※バックアップファイルをバックアップ元と同じ階層に格納する場合、バックアップファイルの拡張子は".xml"にしないでください。
".xml"でファイルを保存しますとProselfが誤作動を起こす可能性がございます。
4.【設定ファイル】を編集します。
------------------------server.xml編集前----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit" />
--------------------------------------------------------------------
↓
------------------------server.xml編集後----------------------------
maxThreads="150" scheme="https" secure="true" URIEncoding="UTF-8"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
keystoreFile="${catalina.base}/conf/keystore.ssl" keystorePass="changeit"
truststoreFile="${catalina.base}/conf/ca.ssl" truststorePass="changeit" />
--------------------------------------------------------------------
※「ciphers=~」の部分を追加しています。
5.ProselfにインストールしているJavaのバージョンを最新(Java8)にアップデートします。Javaのアップデート時の注意点については以下をご覧ください。
http://www.proself.jp/support/faq281
6.Proselfのサービスを再起動します。
7.https接続できることを確認します。