ハルコタン紀行

XPとTLS(SSL)

Announcing support for TLS 1.1 and TLS 1.2 in XP POSReady 2009 (Microsoft Secure)
KB4019276 (カタログ)
Embeddedでは下記ように面倒なことをしなくてもAES対応になるはずです。
ファイルが増えました。
ファイル名バージョン場所
lsasrv.dll5.1.2600.7346system32
schannel.dll5.1.2600.7346system32
secur32.dll5.1.2600.7346system32
ksecdd.sys5.1.2600.7346system32\drivers
dssenh.dll5.1.2600.7345system32
rsaenh.dll5.1.2600.7345system32

(2017-10-18 追記)

KB3081320 (MS15-121) (カタログ)
Embeddedでは下記ように面倒なことをしなくてもAES対応になるはずです。
ファイルが増えました。
ファイル名バージョン場所
schannel.dll5.1.2600.6926system32
dssenh.dll5.1.2600.6924system32
rsaenh.dll5.1.2600.6924system32

(2015-11-11 追記)

これがXPです。IE6でもIE8でも同じです。

Schannelは主にIEやIISで使われます。
FirefoxやChromeを使っている場合は気にしなくていいのかもしれませんが…。

先月、Download Centreを眺めていたらこんな物を見つけました。
Update for Windows Embedded POSReady 2009 (KB3055973)
KB3055973は見当たらないのですが、たぶんServer2003のKB948963のXP版です。

えー…。
素直なインストールはあきらめて、ファイルを上書きしていきます
(この方法ならEmbeddedではなくても入れられます)。
エラーが表示されている時にどこかの(おそらく最も空きがある)ドライブのルートに
一時フォルダーが作られているはずなので、それをどこかにコピーしてからエラーを閉じます。

ファイル名バージョン場所
schannel.dll5.1.2600.6838system32
rsaenh.dll5.1.2600.6834system32

この2つのdllファイルをsystem32にコピーしたいのですが、
そのまま上書きコピーすることはできません。

まず2つのdllファイルを先ほどのフォルダーからsystem32\dllCacheに上書きコピーします。
環境によっては他の場所にも存在するかもしれません。
存在する場合はそちらにも上書きコピーします。
場所
system32\dllCache
Driver Cache\i386(存在する場合)
ServicePackFiles\i386(存在する場合)
ServicePackFiles\ServicePackCache\i386(存在する場合)

次にsystem32の2つのdllファイルの名前を変えます。
Windowsファイル保護(WFP)に叱られますが、キャンセル→はい、で黙らせます。

最後に2つのdllファイルをsystem32\dllCacheからsystem32にコピーします。
また叱られますが、キャンセル→はい、で黙らせます。
再起動します。

名前を変えた2つのdllファイルはそのまま残しても削除してもかまいません。

TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
が増えました。

危ない暗号は無効化しましょう。
Server2003のKB3050509を参考にします。
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

難しく書いてありますが、キーは既にあるので作る必要はなく、
「40/~」「56/~」にDWORD値で"Enabled"を作るだけです
(作れば値は最初から0なので0にする必要もありません)。

すっきりしました。
(<追記>)
RC4 is now disabled in Microsoft Edge and Internet Explorer 11
RC4も無効化しましょう。
「RC4~」にDWORD値で"Enabled"を作るだけです
(「RC2~」は既定で無効化されています)。
確認するために使っていたサイトに接続できなくなっていたので
別のサイトで確認しました。

さらにすっきりしました。
(</追記>)

Schannelではありませんが、こんな物も見つけました。
KB2541382
「特定の暗号化方式で暗号化したファイルを
 Windows 7 または Windows XP 環境上の Office 2003 で開けない」
あー…。XPが
"Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)"
となっているのに対し、Server2003以降は
"Microsoft Enhanced RSA and AES Cryptographic Provider"
となっているのですね。AESが公開されたのが2001年だったので
当時はまだプロトタイプだったのでしょうけど、そのままだったのですね。
これが問題になることは少ないと思いますが、気になるので" (Prototype)"を削ります。
HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider

HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024


なお、SHA-2の証明書はSP3で対応しているので問題ありません。

テーマ:Windows 全般 - ジャンル:コンピュータ

  1. 2015/08/22(土) 22:00:00|
  2. PC
  3. | トラックバック:0
  4. | コメント:0
<<Shockwave | ホーム | XPとUpdate>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
https://ilion.blog.fc2.com/tb.php/553-c9abc0e0
この記事にトラックバックする(FC2ブログユーザー)