ハルコタン紀行

XPとTLS(SSL)

Announcing support for TLS 1.1 and TLS 1.2 in XP POSReady 2009 (Microsoft Secure)
KB4019276
(2017-10-18 追記)

KB3055973はKB3081320(MS15-121)で上書きされます。
この記事のように面倒なことをしなくてもAES対応になるはずです。
(2015-11-11 追記)

これがXPです。IE6でもIE8でも同じです。

Schannelは主にIEやIISで使われます。
FirefoxやChromeを使っている場合は気にしなくていいのかもしれませんが…。

先月、Download Centreを眺めていたらこんな物を見つけました。
Update for Windows Embedded POSReady 2009 (KB3055973)
KB3055973は見当たらないのですが、たぶんServer2003のKB948963のXP版です。

えー…。
素直なインストールはあきらめて、ファイルを上書きしていきます
(この方法ならEmbeddedではなくても入れられます)。
エラーが表示されている時にどこかの(おそらく最も空きがある)ドライブのルートに
一時フォルダーが作られているはずなので、それをどこかにコピーしてからエラーを閉じます。

この2つのdllファイルをsystem32にコピーしたいのですが、
そのまま上書きコピーすることはできません。

まず2つのdllファイルを先ほどのフォルダーからsystem32\dllCacheにコピーします。
次にsystem32の2つのdllファイルの名前を変えます。
Windowsファイル保護(WFP)に叱られますが、キャンセル→はい、で黙らせます。

最後に2つのdllファイルをsystem32\dllCacheからsystem32にコピーします。
また叱られますが、キャンセル→はい、で黙らせます。
再起動します。

名前を変えた2つのdllファイルはそのまま残しても削除してもかまいません。

TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
が増えました。

危ない暗号は減らしておきましょう。
Server2003のKB3050509を参考にします。
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers

難しく書いてありますが、キーは既にあるので作る必要はなく、
弱そうな2桁の「40/~」「56/~」にDWORD値で"Enabled"を作るだけです
(作れば値は最初から0なので0にする必要もありません)。

すっきりしました。

Schannelではありませんが、こんな物も見つけました。
KB2541382
「特定の暗号化方式で暗号化したファイルを
 Windows 7 または Windows XP 環境上の Office 2003 で開けない」
あー…。XPが
"Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)"
となっているのに対し、Server2003以降は
"Microsoft Enhanced RSA and AES Cryptographic Provider"
となっているのですね。AESが公開されたのが2001年だったので
当時はまだプロトタイプだったのでしょうけど、そのままだったのですね。
これが問題になることは少ないと思いますが、気になるので" (Prototype)"を削ります。
HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider

HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024


なお、SHA-2の証明書はSP3で対応しているので問題ありません。

テーマ:Windows 全般 - ジャンル:コンピュータ

  1. 2015/08/22(土) 22:00:00|
  2. PC
  3. | トラックバック:0
  4. | コメント:0
<<Shockwave | ホーム | XPとUpdate>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/553-c9abc0e0
この記事にトラックバックする(FC2ブログユーザー)