WinHTTP が Windows での既定のセキュリティで保護されたプロトコルとして TLS 1.1 および TLS 1.2 を有効にする更新プログラム

適用対象: Windows Server 2012 DatacenterWindows Server 2012 StandardWindows Server 2012 Essentials 詳細

この更新プログラムでは、トランスポート層セキュリティ (TLS) 1.1 および TLS 1.2 のサポートを Windows Server 2012 、Windows 7 Service Pack 1 (SP1)、および Windows Server 2008 R2 SP1 で提供します。

この更新プログラムについて


アプリケーションと WINHTTP_OPTION_SECURE_PROTOCOLS フラグを使用する Secure Sockets Layer (SSL) 接続に WinHTTP を使用して記述されているサービスは、TLS 1.1 または TLS 1.2 プロトコルを使用できません。 このフラグの定義は、これらのアプリケーションおよびサービスに含まれていないためにです。この更新プログラムでは、WINHTTP_OPTION_SECURE_PROTOCOLS フラグを使用する場合に使用する SSL プロトコルを指定するのにはシステム管理者を可能にする DefaultSecureProtocols レジストリ エントリのサポートを追加します。WinHTTP 既定のフラグを使用して新しい TLS 1.2 またはアプリケーションの更新の必要なしでネイティブに TLS 1.1 プロトコルを活用して構築された特定のアプリケーションを許可するこのことができます。WebDav では、WinRM を使用して、WebClient などのテクノロジを使用して SharePoint ライブラリまたは Web フォルダー、DirectAccess 接続を IP HTTPS トンネルおよび他のアプリケーションからドキュメントを開いたとき、一部の Microsoft Office アプリケーションの場合は、その他。
この更新プログラムには、TLS 1.1 および 1.2 をサポートするために Windows 7 でセキュリティで保護されたチャネル (Schannel) コンポーネントを構成することが必要です。 これらのプロトコルのバージョンは、Windows 7 では既定で有効になっていないとは、Office アプリケーションは、正常に TLS 1.1 および 1.2 を使用できることを確認するのにはレジストリの設定を構成する必要があります。この更新プログラムでは、既定のフラグを渡す代わりにセキュリティで保護されたプロトコルを手動で設定されているアプリケーションの動作は変更されません。

この更新プログラムの入手方法


重要: この更新プログラムをインストールした後に言語パックをインストールした場合は、この更新プログラムを再インストールする必要があります。 そのため、この更新プログラムをインストールする前に、必要な言語パックをすべてインストールすることをお勧めします。 詳細については、「Windows への言語パックの追加」を参照してください。

方法 1: Windows Update

この更新プログラムが提供されている Windows Update での推奨される更新プログラムとして。 Windows Update の実行方法については、「How to get an update through Windows Update」(英語情報) を参照してください。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。

更新プログラムの詳細情報

必要条件

この更新プログラムを適用するには、 Windows 7 または Windows Server 2008 R2 用の Service Pack 1 をインストールする必要があります。Windows Server 2012 でこの更新プログラムを適用する前提条件はありません。

レジストリ情報

この更新プログラムを適用するには、 DefaultSecureProtocolsのレジストリ サブキーを追加してください。注: これらの確認手順は、Windows クライアントにのみ適用されます。 これを行うには、レジストリ サブキーを手動で追加したり、「簡単な解決策」のレジストリ サブキーを作成するをインストールできます。

再起動の必要性

この更新プログラムの適用後、コンピューターの再起動が必要になる場合があります。

更新プログラムの置き換えに関する情報

この更新プログラムを適用しても、以前にリリースされた更新プログラムが置き換えられることはありません。

詳細情報


支払いカード業界 (PCI) には、コンプライアンスのための TLS 1.1 または TLS 1.2 が必要です。WINHTTP_OPTION_SECURE_PROTOCOLS フラグの詳細については、オプションのフラグを参照してください。

DefaultSecureProtocols レジストリ エントリがどのように動作

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 バックアップし、レジストリを復元する方法の詳細については、バックアップおよび Windows のレジストリを復元する方法を参照してください。システムが DefaultSecureProtocols のレジストリ エントリを確認し、存在する場合に指定されたプロトコルで、WINHTTP_OPTION_SECURE_PROTOCOLS で指定された既定のプロトコルをオーバーライドするアプリケーションでは、WINHTTP_OPTION_SECURE_PROTOCOLS を指定する場合レジストリのエントリです。 レジストリ エントリが存在しない場合は、WinHTTP は Win WINHTTP_OPTION_SECURE_PROTOCOLS の HTTP の既存のオペレーティング システムの既定値を使用します。 WinHTTP 既定値は既存の優先順位の規則に従うし、SCHANNEL が無効になっているプロトコルによって取り消され、WinHttpSetOption でアプリケーションごとのプロトコルを設定します。注: これらの確認手順は、Windows クライアントにのみ適用されます。 修正プログラム インストーラーは、DefaultSecureProtocols の値を追加しません。 管理者は、優先プロトコルを決定した後、エントリを手動で追加する必要があります。 または、「簡単な解決策」に自動的にエントリを追加するのにをインストールすることができます。DefaultSecureProtocolsレジストリ エントリは、次のパスに追加できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
X64-ベースのコンピューターで、 DefaultSecureProtocolsも Wow6432Node パスに追加する必要があります。
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

レジストリ値は、DWORD のビットマップです。 使用する値は、必要なプロトコルに対応する値を追加することによって決まります。

DefaultSecureProtocols プロトコルが有効になっています。
0x00000008 既定で SSL 2.0 を有効にします。
0x00000020 既定で SSL 3.0 を有効にします。
0x00000080 既定で TLS 1.0 を有効にします。
0x00000200 既定で TLS 1.1 を有効にします。
0x00000800 TLS 1.2 を既定で有効にします。
次に例を示します。管理者が TLS 1.1 および TLS 1.2 を指定する WINHTTP_OPTION_SECURE_PROTOCOLS の既定値をオーバーライドしようとするとします。TLS 1.1 (0x00000200) の値と TLS 1.2 (0x00000800) の値を取得し、それらを加算 (モード)、プログラマでは電卓で、レジストリの値は 0x00000A00 になります。

簡単な解決策

自動的にDefaultSecureProtocolsのレジストリ サブキーを追加するには、[ダウンロード] ボタンをクリックします。 [ファイルのダウンロード] ダイアログ ボックスで [実行] または [開く] をクリックし、簡易修正ツール ウィザードの手順に従います。注:
  • このウィザードは英語版のみである場合があります。 しかし、自動的な解決は英語版以外の Windows でも機能します。
  • いない場合に、問題があるコンピューターを簡単に修正プログラム ソリューションをフラッシュ ドライブまたは CD に保存し、し、問題のあるコンピューターで実行します。
注: だけでなく、 DefaultSecureProtocolsのレジストリ サブキーを簡単に修正プログラムはまた Internet Explorer の TLS 1.1 および 1.2 を有効にするために次の場所にSecureProtocolsを追加します。TLS 1.1 および 1.2 を有効にするための 0xA80 の値を持つSecureProtocolsのレジストリ エントリは、次のパスに追加されます。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet の設定
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings

TLS 1.1 および 1.2 SChannel コンポーネント レベルでの Windows 7 で有効にします。

TLS SSL 設定資料を有効にし、Windows 7 上でネゴシエートするには、TLS 1.1 および 1.2 の適切なサブキー (クライアント) に"DisabledByDefault"のエントリを作成および「0」に設定する必要があります。 これらのプロトコルは既定で無効になっているために、これらのサブキーは、レジストリに作成されません。

TLS 1.1 および 1.2; のために必要なサブキーを作成します。DisabledByDefault の DWORD 値を作成し、次の場所を 0 に設定。

TLS 1.1

レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\ClientDWORD 名: DisabledByDefaultDWORD 値: 0

TLS 1.2

レジストリの場所: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client  DWORD 名: DisabledByDefaultDWORD 値: 0 

ファイル情報


このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイルがインストールされます。

関連情報


マイクロソフトでソフトウェア更新プログラムの説明に使用する用語集を参照してください。