シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ACE: version tls1 が設定されていると TLS 1.1/1.2 でのアクセスに失敗する

2015年1月22日(初版)

TAC SR Collection
主な問題

SSLv3 を無効化するために ssl-proxy にて `version tls1` を設定すると、TLS 1.1/1.2 をサポートしているクライアントからのアクセスが失敗します。

原因

SSL/TLS のバージョン指定が無い場合、TLS 1.1/1.2 のクライアントからのアクセスは TLS 1.0 にダウングレードされますが、`version tls1` が設定されている場合は TLS 1.0 のみのサポートとなるため、TLS 1.0 以外のクライアントからのアクセスが失敗します。

解決策

CSCur23683 の修正バージョンを使用することで、デフォルトで SSLv3 が無効となります 。SSLv3 を無効にするための `version tls1` の設定が不要となりますので、SSL/TLS のバージョン設定を外すことで、TLS 1.1/1.2 のクライアントからのアクセス時に TLS 1.0 へのダウングレードが行われるようになります。

CSCur23683 の修正バージョンでは、A5(3.0) 以降でサポートされた TLS 1.1/1.2 を有効にする方法もあります。例えばバージョン指定として `version Upto_TLS1_2` を設定すると TLS 1.0/1.1/1.2 が有効となります。コマンドの詳細は Release Note をご参照ください。

-  Release Note vA5(3.x)

(for ACE30 module)

http://www.cisco.com/c/en/us/td/docs/interfaces_modules/services_modules/ace/vA5_3_x/release/note/ACE_mod_rn_A53x.html#pgfId-936970

(for ACE4710 appliance)

http://www.cisco.com/c/en/us/td/docs/app_ntwk_services/data_center_app_services/ace_appliances/VA5_3_x/release/note/ACE_app_rn_A53x.html#pgfId-895341

  • タグ付けされた記事をさらに検索:
673
閲覧回数
0
いいね!
0
コメント