しばやん雑記

ASP.NET とメイドさんが大好きなフリーランスのプログラマーのブログ

日本でも Azure Web Apps の SSL/TLS 暗号スイートから RC4 が削除されました

6 月に発表されていた Azure Web Apps の SSL/TLS 暗号スイートのアップデートですが、やっと日本でも実施されたようです。US のデータセンターでは少し前にアップデートが実施されていました。

事前に発表された予定より遅れた感はありますが、今日確認すると東日本でも RC4 が暗号スイートから削除されて、SSL Server Test で A 評価が出るようになっていました。

f:id:shiba-yan:20150820230710p:plain

問題のある RC4 が削除されたことで、より安全かつ安心して Web Apps を使うことができますね。

暗号スイートの一覧を確認すると、削除予定だったはずの 3DES は生き残っていました。内部でのテスト中に、何処かで互換性に問題が見つかったのかもしれません。

f:id:shiba-yan:20150820231005p:plain

これまでは優先度に問題がありましたが、アップデートで ECDHE が優先的に使われるようになりました。実はこの対応だけは RC4 の無効とは別で、比較的早いうちに行われていたようです。

f:id:shiba-yan:20150820230742p:plain

Forward Secrecy もモダンブラウザでは対応するようになりました。ECDHE のおかげですね。

残念ながら TLS_FALLBACK_SCSV への対応は Windows 側に依存するため、A+ 評価を出すことは出来ないでしょう。TLS_FALLBACK_SCSV に対応せずに A+ 評価を出すには TLS 1.2 のみにする必要があります。

f:id:shiba-yan:20150820233118p:plain

したがって HTTP Strict Transport Security に対応させても A+ までは行きません。しかし、対応しているブラウザが増えているので、SSL に限定させたい場合には設定しておくのがいいと思います。