しばやん雑記

Azure とメイドさんが大好きなフリーランスのプログラマーのブログ

日本でも Azure Web Apps の SSL/TLS 暗号スイートから RC4 が削除されました

6 月に発表されていた Azure Web Apps の SSL/TLS 暗号スイートのアップデートですが、やっと日本でも実施されたようです。US のデータセンターでは少し前にアップデートが実施されていました。

事前に発表された予定より遅れた感はありますが、今日確認すると東日本でも RC4 が暗号スイートから削除されて、SSL Server Test で A 評価が出るようになっていました。

問題のある RC4 が削除されたことで、より安全かつ安心して Web Apps を使うことができますね。

暗号スイートの一覧を確認すると、削除予定だったはずの 3DES は生き残っていました。内部でのテスト中に、何処かで互換性に問題が見つかったのかもしれません。

これまでは優先度に問題がありましたが、アップデートで ECDHE が優先的に使われるようになりました。実はこの対応だけは RC4 の無効とは別で、比較的早いうちに行われていたようです。

Forward Secrecy もモダンブラウザでは対応するようになりました。ECDHE のおかげですね。

残念ながら TLS_FALLBACK_SCSV への対応は Windows 側に依存するため、A+ 評価を出すことは出来ないでしょう。TLS_FALLBACK_SCSV に対応せずに A+ 評価を出すには TLS 1.2 のみにする必要があります。

したがって HTTP Strict Transport Security に対応させても A+ までは行きません。しかし、対応しているブラウザが増えているので、SSL に限定させたい場合には設定しておくのがいいと思います。