読者です 読者をやめる 読者になる 読者になる

しばやん雑記

ASP.NET とメイドさんが大好きなフリーランスのプログラマーのブログ

2017 年 4 月から Azure Web Apps の SSL/TLS 暗号スイートから 3DES が削除されます

Azure Web Apps

久し振りに英語の MSDN Forums を見ると、当該のアナウンスを発見しました。メールでも通知が飛んでいるらしいですが、自分のサブスクリプションにはメールが届いていなかったです。

Currently, Azure Web Apps supports 3DES cipher, for TLS/SSL although it is prioritized at the bottom of the list. The new cipher suite order will remove the 3DES cipher and will look like the following:

We are updating our TLS/SSL cipher suites to improve security

Web Apps と書きましたが、それ以外の Mobile Apps や Azure Functions もバックエンドは Web Apps なので影響を受けるものだと思っています。

やっと 3DES が暗号スイートから削除されるらしいです。2 年ほど前にも 3DES と RC4 が削除されるという話がありましたが、何故か結果としては 3DES だけ残っていました。

以前に RC4 が削除された時と同じように、テストサイトが公開されています。今回のアップデートでの影響が心配な方は、予め確認しておいた方がいいかもしれません。基本は問題ないと思いますが。

https://appsvcssl.trafficmanager.net

実際のアップデートは 4/3 から 4 週間かけて行われるみたいです。

今更 3DES しか使えない環境はありえないという感じですが、3DES が削除されることで影響の出るユーザーは Windows XP で IE8 を使っている場合だけのようです。

f:id:shiba-yan:20170114200731p:plain

サポートが切れた OS でインターネットにアクセスしている時点でセキュアではないです。

App Service と暗号スイートの絡みで調べていたら、App Service Environment では TLS 1.0 を無効化したり、暗号スイートの順序が変更できるようになっていることを知りました。

例によってポータルから変更できるようなものではなく、Azure Resource Explorer を使って直接クラスタ設定を書いていく形になるようですが、エンプラ系では使いどころがありそうですね。

ちなみに PCI DSS 的には TLS 1.0 を落としておかないといけないのは初めて知りました。