macOS X 10.13 および iOS 11におけるGlobalProtect接続のための新しい要件

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
macOS X 10.13 & iOS 11 - New Requirements for GlobalProtect Connections
https://live.paloaltonetworks.com/t5/Configuration-Articles/macOS-X-10-13-amp-iOS-11-New-Requirement...

この情報の入手先についてはAppleのサポート記事 https://support.apple.com/en-us/HT207828(英文)https://support.apple.com/ja-jp/HT207828(日本語)を参照してください。

 

要約するとこれらのリリースには次の要件が含まれています:

  • SHA-1 証明書を使用した TLS 接続はサポートされなくなります。TLS サービスの管理者の方は、SHA-2 証明書を使うようにサービスをアップデートしてください。
  • すべての TLS 接続において、RSA 鍵長が 2048 ビット未満の証明書は信頼対象から除外されます。
  • TLS 1.2 を EAP-TLS ネゴシエーションのデフォルトとして使用します。このデフォルト設定は、構成プロファイルで変更できます。古いクライアントでは引き続き 1.0 が必要な場合もあります。

注: GlobalProtect ポータルとゲートウェイの"SSL/TLS サービス プロファイルの最大バージョンが"TLSv1.1"と設定されている場合、iOS 11とMac OS X 10.13のどちらのシステムでも接続を確立できます。最大バージョンが"TLSv1.2"または "max"に設定された状態で設定がコミットされると、GlobalProtect エージェントは接続に成功します。

 

iOS 11における変更点(原文)

Security

iOS 11, tvOS 11, and Mac OS High Sierra include the following changes to TLS connections:

  • Removes support for TLS connections using SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates.
  • Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections.
  • Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0.
  • Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy.

macOS High Sierra における変更点(原文)

Security

macOS High Sierra, tvOS 11, and iOS 11 include the following changes to TLS connections:

  • Removes support for TLS connections using SHA-1 certificates. Administrators of TLS services should update their services to use SHA-2 certificates.
  • Removes trust from certificates that use RSA key sizes smaller than 2048 bits across all TLS connections.
  • Uses TLS 1.2 as the default for EAP-TLS negotiation. You can change this default setting with a configuration profile. Older clients might still need 1.0.
  • Authentication based on client certificates requires the server to support TLS 1.2 with cipher suites that are compatible with forward secrecy.

 

著者: jjosephs