現在、Azure の仮想ネットワーク環境において、ポイント対サイト VPN 接続をご利用いただいているお客様向けに「対応が必要: Windows 7 および Windows 8 のポイント対サイト VPN クライアントを 2018年7月1日 までに更新してください」(Update Windows 7 and Windows 8 point-to-site VPN clients for PCI compliance)というタイトルのメールがお手元に届いているかと思います。こちらのメールの内容について、本ブログにて少し補足させていただきます。
なお、今回の変更は、あくまでポイント対サイト VPN 接続で利用される SSTP に影響を与えるものであり、サイト対サイト VPN 接続や Mac OS や Linux のポイント対サイト接続 VPNで使用されている IKE プロトコルには影響がございません。
TLS 1.0 および 1.1 のサポート終了
ポイント対サイト VPN 接続で利用されている SSTP(Secure Socket Tunneling Protocol)では、その暗号化通信の機能として TLS を利用しています。
これまで、Microsoft では、より高いセキュリティで安心してシステムをご利用いただくため、段階的に TLS 1.2 への移行をお願いして参りました。Azure のポイント対サイト VPN 接続におきましても、より高いセキュリティでご利用いただくため、仮想ネットワーク ゲートウェイにて、以前より TLS 1.2 の利用を可能にするなどの取り組みを行ってきました。
この度、多くのお客様により安心してご利用いただくため、また、PCI(Payment Card Industry)基準に準拠するため、ポイント対サイト VPN 接続で利用される TLS において、TLS 1.0 および TLS 1.1 のサポートを終了し、TLS 1.2 のみをサポートするように変更することになりました。
ポイント対サイト VPN 接続のクライアントとして Windows 10 をご利用いただいているお客様におきましては、既定の状態で TLS 1.2 をサポートしているため、特に対処いただく必要はありません。
Windows 7 または Windows 8.1 をご利用いただいているお客様におきましては、TLS 1.2 を利用いただくために以下の更新プログラムを適用いただく必要があります。
- Microsoft の EAP 実装で TLS の使用を有効にする更新プログラム
マイクロソフト セキュリティ アドバイザリ: TLS の使用を可能にする Microsoft EAP 実装の更新プログラム (2014 年 10 月 14 日) - WinHTTP の既定の安全なプロトコルとして TLS 1.1 と TLS 1.2 を有効にする更新プログラム
WinHTTP が Windows での既定のセキュリティで保護されたプロトコルとして TLS 1.1 および TLS 1.2 を有効にする更新プログラム
暗号スイートの変更
また、今回の変更と併せて、ポイント対サイト VPN 接続の TLS で使用される暗号化スイートにも一部変更が生じます。具体的には、以下のアルゴリズムが利用できなくなります。
- RC4 (Rivest Cipher 4)
- DES (Data Encryption Algorithm)
- 3DES (Triple Data Encryption Algorithm)
- MD5 (Message Digest 5)
- SHA-1 (Secure Hash Algorithm 1)
この変更に伴いポイント対サイト VPN 接続のクライアントでは、暗号化アルゴリズムとして AES(AES128、AES192、AES256) 、ハッシュ アルゴリズムとして SHA-2(SHA256、SHA384)といったアルゴリズムが利用可能である必要が生じます。
ただし、ポイント対サイト VPN 接続でサポートされているWindows 7、Windows 8.1、Windows 10 においては、AES や SHA-2 を使った暗号化スイートが既定でサポートされているため、特に対処は必要ありません。
TLS 1.2 への移行に関しましては、こちらのブログでもご案内しておりますので、併せてご覧いただければと思います。