Contrast SaaSにTLSv1.2で接続する

  • 更新
ライセンス SaaS
製品 Assess & Protect
製品カテゴリ    全てのエージェント
サブカテゴリ 接続

 

概要

業界のベストプラクティスに従って、Contrast SaaSインスタンスは古く安全ではないプロトコルは廃止し、TLSバージョン1.2以降のプロトコルをサポートしています。また利用可能な暗号スイートはTLSv1.2_2019セキュリティポリシードキュメントに記載されているものとなっています。

質問

TLSおよび暗号スイートの制限はエージェントとContrast Webインターフェースとの接続にどのような影響を与えますか?

回答

以下の説明にあるように、TLSのサポートはエージェントの言語、オペレーティングシステムなどの環境によって異なります:


.NET Framework

何らかの理由で上記の要件を満たせない場合にはこのページの下部の注記にある回避策をご覧ください。


.NET Core

TLSv1.2がサポートされているWindowsあるいはLinuxマシン上で.NET Coreエージェントが動作していれば特別に何かをする必要はありません。


Java

Javaバージョン8以降ではTLSv1.2はデフォルトでサポートされていますので(WebSphereとともにIBM JREを使用している場合には以下の表の注記をご覧ください)、OSがTLSv1.2をサポートしていれば特別に何かをする必要はありません。

古いバージョンのJavaを用いているか特別なケースについては以下をご覧ください:

JVM 注記 必要なアクション
Oracle Java 6 一般に公開されているバージョンのJavaではTLSv1.2はサポートされていません。 Contrast SaaSと接続するためにはJavaのアップグレードが必要です。可能な回避策についてはこのページの下部にある注記を参照してください。
Oracle Java 7 Oracleのu95より前のJava 7では以下のJVMオプションを追加することでTLSv1.2を使用できる可能性があります:
-Dhttps.protocols=TLSv1.2
-Dhttps.cipherSuites=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

もしこれらのJVMオプションが有効でない場合にはOracle Java 7 u95以降にアップグレードする必要があります(これは有料オプションであることにご注意ください)。この表の次の行あるいはこのページの下部にある注記の可能な回避策をご覧ください。

OpenJDK 7 1.7.0_141以降のバージョンではTLSv1.2はサポートされておりデフォルトで有効となっています。

Oracle Java 7 u95にアップグレードできない場合のオプションです。無料ダウンロードはここで入手可能です。

IBM JRE 7/8 と WebSphereの組み合わせ

TLSv1.2はサポートされていますが、WebSphere 8.5/9と組み合わせる場合にはJVMオプションを追加する必要があります。

古いIBM Java 7(SR4 FP80 20210122より前のもの)あるいは8では以下のWebSphere JVMオプションを追加する必要があります:-Dcom.ibm.jsse2.overrideDefaultTLS=true
IBM JRE 7/8 と SuiteB を有効とした場合 JVMオプション com.ibm.jsse2.suiteB を 128 あるいは 192に設定してSuiteBを有効にした場合。 この組み合わせではTLSv1.2を用いることができません。このページの下部にある注記の可能な回避策をご覧ください。

 


Node.js

Node.jsエージェントではContrastサーバとContrastサービスを用いて通信する場合と、直接通信する場合があります。前者の場合は以下のRyby, PythonおよびGoの箇所をご覧ください。後者の場合にはNode.jsエージェントはTLSv1.2をサポートしていますので、特別に何かをする必要はありません。


Ruby, PythonおよびGo

Ruby, PythonおよびGoエージェントはContrast サーバとの通信をGoで実装されているContrastサービスを介して行います。Contrast サービスはTLSv1.2をサポートしているため、特別に何かをする必要はありません。


注記: TLSv1.2をサポートするために前述のようなテクノロジーのアップグレードを行うのが不可能な場合、エージェントとContrastサーバとの間にプロキシーを導入し、プロキシーとContrastサーバとの通信でTLSv1.2を用いるという方法があります。Contrastが推奨するプロキシーというものはございませんので(ただしここに幾つかの例があります)お客様側の選択となります。
エージェントをプロキシを用いるように設定するには、例えばJavaであればここを、.NET Frameworkであればここをご覧ください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

他にご質問がございましたら、リクエストを送信してください