ライセンス | SaaS |
製品 | Assess & Protect |
製品カテゴリ | 全てのエージェント |
サブカテゴリ | 接続 |
概要
業界のベストプラクティスに従って、Contrast SaaSインスタンスは古く安全ではないプロトコルは廃止し、TLSバージョン1.2以降のプロトコルをサポートしています。また利用可能な暗号スイートはTLSv1.2_2019セキュリティポリシードキュメントに記載されているものとなっています。
質問
TLSおよび暗号スイートの制限はエージェントとContrast Webインターフェースとの接続にどのような影響を与えますか?
回答
以下の説明にあるように、TLSのサポートはエージェントの言語、オペレーティングシステムなどの環境によって異なります:
.NET Framework
- 新エージェント(.NET Frameworkランタイムバージョン4.7.1以上) - エージェントバージョン 21.5.2以上をお使いください。
- 旧エージェント(.NET frameworkランタイムバージョン 4.5.1 - 4.7.0) - エージェントの変更は不要ですがOSをアップデートするかTLS 1.2をサポートするように設定する必要があります。
何らかの理由で上記の要件を満たせない場合にはこのページの下部の注記にある回避策をご覧ください。
.NET Core
TLSv1.2がサポートされているWindowsあるいはLinuxマシン上で.NET Coreエージェントが動作していれば特別に何かをする必要はありません。
Java
Javaバージョン8以降ではTLSv1.2はデフォルトでサポートされていますので(WebSphereとともにIBM JREを使用している場合には以下の表の注記をご覧ください)、OSがTLSv1.2をサポートしていれば特別に何かをする必要はありません。
古いバージョンのJavaを用いているか特別なケースについては以下をご覧ください:
JVM | 注記 | 必要なアクション |
Oracle Java 6 | 一般に公開されているバージョンのJavaではTLSv1.2はサポートされていません。 | Contrast SaaSと接続するためにはJavaのアップグレードが必要です。可能な回避策についてはこのページの下部にある注記を参照してください。 |
Oracle Java 7 | Oracleのu95より前のJava 7では以下のJVMオプションを追加することでTLSv1.2を使用できる可能性があります:
-Dhttps.protocols=TLSv1.2 |
もしこれらのJVMオプションが有効でない場合にはOracle Java 7 u95以降にアップグレードする必要があります(これは有料オプションであることにご注意ください)。この表の次の行あるいはこのページの下部にある注記の可能な回避策をご覧ください。 |
OpenJDK 7 | 1.7.0_141以降のバージョンではTLSv1.2はサポートされておりデフォルトで有効となっています。 |
Oracle Java 7 u95にアップグレードできない場合のオプションです。無料ダウンロードはここで入手可能です。 |
IBM JRE 7/8 と WebSphereの組み合わせ |
TLSv1.2はサポートされていますが、WebSphere 8.5/9と組み合わせる場合にはJVMオプションを追加する必要があります。 |
古いIBM Java 7(SR4 FP80 20210122より前のもの)あるいは8では以下のWebSphere JVMオプションを追加する必要があります:-Dcom.ibm.jsse2.overrideDefaultTLS=true
|
IBM JRE 7/8 と SuiteB を有効とした場合 | JVMオプション com.ibm.jsse2.suiteB を 128 あるいは 192 に設定してSuiteBを有効にした場合。 |
この組み合わせではTLSv1.2を用いることができません。このページの下部にある注記の可能な回避策をご覧ください。 |
Node.js
Node.jsエージェントではContrastサーバとContrastサービスを用いて通信する場合と、直接通信する場合があります。前者の場合は以下のRyby, PythonおよびGoの箇所をご覧ください。後者の場合にはNode.jsエージェントはTLSv1.2をサポートしていますので、特別に何かをする必要はありません。
Ruby, PythonおよびGo
Ruby, PythonおよびGoエージェントはContrast サーバとの通信をGoで実装されているContrastサービスを介して行います。Contrast サービスはTLSv1.2をサポートしているため、特別に何かをする必要はありません。