SCF 4.3.3サーバがTLS 1.0および1.1の受け入れを停止した場合、悪影響はありますか。
環境
Snap Creator Framework(SCF)4.3.3Px
回答
いいえ、1つの警告(*)があります。
scagentが
APP_NAME
構成でHANAを使用している場合でも、 これは、scServerへの接続を作成する唯一のプラグインです。scAgentのバージョンがSSL証明書のセットアップにIPを必要とするものである場合、TLSv1.2(またはそれ以上)のみを使用して、TLSv1.0またはTLSv1.1なしで動作します。
警告 JavaにおけるSSLの脆弱性を最新の状態に保つには、Java Virtual Machine(JVM、つまりJREまたはOpenJDK)を最新のリリース(**)にアップグレードする必要があります。 |
追加情報
*)TLSv1.2を適切にサポートするには最新バージョンのJava 8(リビジョン202以上)を使用し、scServerとscagentの両方でSnap Creator Frameworkのバージョン4.3.3P3以上を使用するようにしてください。3P3では、TLSv1.2のみを使用するためのAIX修正プログラムが追加されています。 すでにWindowsとLinuxで動作していました
**)JRE 1.8.0の現在のバージョンでは、設定でTLSv1.0およびTLSv1.1が無効になっており、TLSv1.2から弱い暗号も削除されます。
注: Snap Creator FrameworkのscServerとscAgentはどちらもJavaアプリケーションであり、Java Virtual Machine(JVM)を使用します。JRE(Java Runtime)には独自のSSLセキュリティ設定があるため、Windowsでは、WindowsレジストリでTLS設定を変更しても、scServer(ポート443)およびscagent(ポート9090)の動作は変更されません。
代わりに、JREの
lib/security/java.security
ファイルにセキュリティの許容範囲と許容範囲が設定され、次のエントリは、古いJava 8ランタイムでTLSv1.0とTLSv1.1を無効にします。 jdk.tls.disabledAlgorithms=SSL,SSLv2,SSLv3, TLSv1, TLSv1.1,MD5, SSLv3, DSA, RSA keySize <2048