2015-01-22 01:15 PM
2015年1月22日(初版)
SSLv3 を無効化するために ssl-proxy にて `version tls1` を設定すると、TLS 1.1/1.2 をサポートしているクライアントからのアクセスが失敗します。
SSL/TLS のバージョン指定が無い場合、TLS 1.1/1.2 のクライアントからのアクセスは TLS 1.0 にダウングレードされますが、`version tls1` が設定されている場合は TLS 1.0 のみのサポートとなるため、TLS 1.0 以外のクライアントからのアクセスが失敗します。
解決策
CSCur23683 の修正バージョンを使用することで、デフォルトで SSLv3 が無効となります 。SSLv3 を無効にするための `version tls1` の設定が不要となりますので、SSL/TLS のバージョン設定を外すことで、TLS 1.1/1.2 のクライアントからのアクセス時に TLS 1.0 へのダウングレードが行われるようになります。
CSCur23683 の修正バージョンでは、A5(3.0) 以降でサポートされた TLS 1.1/1.2 を有効にする方法もあります。例えばバージョン指定として `version Upto_TLS1_2` を設定すると TLS 1.0/1.1/1.2 が有効となります。コマンドの詳細は Release Note をご参照ください。
- Release Note vA5(3.x)
(for ACE30 module)
http://www.cisco.com/c/en/us/td/docs/interfaces_modules/services_modules/ace/vA5_3_x/release/note/ACE_mod_rn_A53x.html#pgfId-936970
(for ACE4710 appliance)
http://www.cisco.com/c/en/us/td/docs/app_ntwk_services/data_center_app_services/ace_appliances/VA5_3_x/release/note/ACE_app_rn_A53x.html#pgfId-895341
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます