KB4467770 (
カタログ)
WinHTTPでもTLS1.1/TLS1.2がサポートされました。
既定では有効になっておらず、有効にするにはレジストリの設定が必要になります。
これはWin7でも同様です(
KB3140245)。
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
DefaultSecureProtocols = a80 (DWORD)
| ファイル名 | バージョン | 場所 |
| winhttp.dll | 5.1.2600.7587 | system32 |
(2018-11-28 追記)
KB4459091 (
カタログ)
ファイルが更新されました。
| ファイル名 | バージョン | 場所 |
| schannel.dll | 5.1.2600.7567 | system32 |
| dssenh.dll | 5.1.2600.7345 | system32 |
| rsaenh.dll | 5.1.2600.7345 | system32 |
(2018-10-18 追記)
Announcing support for TLS 1.1 and TLS 1.2 in XP POSReady 2009 (Microsoft Secure)
KB4019276 (
カタログ)
TLS1.1/TLS1.2がサポートされました。
既定では有効になっておらず、有効にするにはレジストリの設定が必要になります。
これはWin7でも同様です(
KB3140245)。
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client
DisabledByDefault = 0 (DWORD)
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server
DisabledByDefault = 0 (DWORD)
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client
DisabledByDefault = 0 (DWORD)
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server
DisabledByDefault = 0 (DWORD)
ファイルが増えました。
| ファイル名 | バージョン | 場所 |
| lsasrv.dll | 5.1.2600.7346 | system32 |
| schannel.dll | 5.1.2600.7346 | system32 |
| secur32.dll | 5.1.2600.7346 | system32 |
| ksecdd.sys | 5.1.2600.7346 | system32\drivers |
| dssenh.dll | 5.1.2600.7345 | system32 |
| rsaenh.dll | 5.1.2600.7345 | system32 |
(2017-10-18 追記)
KB3081320 (MS15-121) (
カタログ)
ファイルが増えました。
| ファイル名 | バージョン | 場所 |
| schannel.dll | 5.1.2600.6926 | system32 |
| dssenh.dll | 5.1.2600.6924 | system32 |
| rsaenh.dll | 5.1.2600.6924 | system32 |
(2015-11-11 追記)
これがXPです。IE6でもIE8でも同じです。
Schannelは主にIEやIISで使われます。
FirefoxやChromeを使っている場合は気にしなくていいのかもしれませんが…。
先月、Download Centreを眺めていたらこんな物を見つけました。
Update for Windows Embedded POSReady 2009 (KB3055973)
KB3055973は見当たらないのですが、たぶんServer2003の
KB948963のXP版です。
えー…。
素直なインストールはあきらめて、ファイルを上書きしていきます
(この方法ならEmbeddedではなくても入れられます)。
エラーが表示されている時にどこかの(おそらく最も空きがある)ドライブのルートに
一時フォルダーが作られているはずなので、それをどこかにコピーしてからエラーを閉じます。
| ファイル名 | バージョン | 場所 |
| schannel.dll | 5.1.2600.6838 | system32 |
| rsaenh.dll | 5.1.2600.6834 | system32 |
この2つのdllファイルをsystem32にコピーしたいのですが、
そのまま上書きコピーすることはできません。
まず2つのdllファイルを先ほどのフォルダーからsystem32\dllCacheに上書きコピーします。
環境によっては他の場所にも存在するかもしれません。
存在する場合はそちらにも上書きコピーします。
| 場所 | |
| system32\dllCache | |
| Driver Cache\i386 | (存在する場合) |
| ServicePackFiles\i386 | (存在する場合) |
| ServicePackFiles\ServicePackCache\i386 | (存在する場合) |
次にsystem32の2つのdllファイルの名前を変えます。
Windowsファイル保護(WFP)に叱られますが、キャンセル→はい、で黙らせます。
最後に2つのdllファイルをsystem32\dllCacheからsystem32にコピーします。
また叱られますが、キャンセル→はい、で黙らせます。
再起動します。
名前を変えた2つのdllファイルはそのまま残しても削除してもかまいません。
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
が増えました。
危ない暗号は無効化しましょう。
Server2003の
KB3050509を参考にします。
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers
難しく書いてありますが、キーは既にあるので作る必要はなく、
「40/~」「56/~」にDWORD値で"Enabled"を作るだけです
(作れば値は最初から0なので0にする必要もありません)。
すっきりしました。
(<追記>)
RC4 is now disabled in Microsoft Edge and Internet Explorer 11RC4も無効化しましょう。
「RC4~」にDWORD値で"Enabled"を作るだけです
(「RC2~」は既定で無効化されています)。
確認するために使っていたサイトに接続できなくなっていたので
別のサイトで確認しました。
さらにすっきりしました。
(</追記>)
Schannelではありませんが、こんな物も見つけました。
KB2541382「特定の暗号化方式で暗号化したファイルを
Windows 7 または Windows XP 環境上の Office 2003 で開けない」
あー…。XPが
"Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)"
となっているのに対し、Server2003以降は
"Microsoft Enhanced RSA and AES Cryptographic Provider"
となっているのですね。AESが公開されたのが2001年だったので
当時はまだプロトタイプだったのでしょうけど、そのままだったのですね。
これが問題になることは少ないと思いますが、気になるので" (Prototype)"を削ります。
HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider
HKLM\SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024
なお、SHA-2の証明書はSP3で対応しているので問題ありません。
1. 感謝
Windows XP SP3 上で開発が中止されているソフトを使用するため本ページと幾つかのサイトを参考にさせて頂きました。
記載内容を拝見しながら、どの様な方なのかと想像してしまいました。対応方法を規定外のところから探し出し対応させてしまうなんて!
また、しばらくは XP が延命できそうです。
感謝いたします。
こちらこそ
そもそもコメントを何年も見ておりませんでした
(何しろ直近のコメントが8年前でしたので…言い訳です)。
インターネットラジオ方面のスレッドでしょうか。
ファイル名やフォルダーがわかりにくくてご迷惑をおかけしたようで
(今更ですが)表にしてみました。