IIS 6.0の環境で、SSL証明書のセキュリティ警告が表示される

IIS 6.0(Windows Server 2003)は、問題なく、証明書のインストールが完了しても、セキュリティ警告が表示されます。それは、IIS 6.0(Windows Server 2003)が、TLS 1.0にしか対応できない仕様のためです。(2020年2月現在)

TLS 1.0だと、セキュリティ警告が表示される理由

SSLの規格は、SSL 1.0から初まり、SSL 2.0・SSL 3.0・TLS 1.0・TLS 1.1・TLS 1.2・TLS 1.3とバージョンアップを繰り返しながら、脆弱性を悪用したサーバへの攻撃に対応して来た歴史があります。

主要ブラウザもそれを受けて、古いSSLの規格を無効化し、サイトブロックする仕様とすることで、脆弱性のある古い仕様のサーバを淘汰し、安全なインターネットによるやり取りを維持するための活動を行っています。

2020年2月現在、主要ブラウザの対応は以下のとおりです。

SSL 1.0サイトブロック
SSL 2.0サイトブロック
SSL 3.0サイトブロック
TLS 1.0セキュリティ警告の表示
TLS 1.1セキュリティ警告の表示
TLS 1.2通常表示
TLS 1.3通常表示

主要ブラウザは、いきなりサイトブロックするのでなく、セキュリティ警告の表示を行う時期を設定することで、サイト所有者に古い仕様のサーバを使い続ける危険性を理解してもらい、サーバのバージョンアップのキッカケにしてもらいたいと考えています。

2020年2月現在、主要ブラウザは、TLS 1.0とTLS 1.1に対し、セキュリティ警告を表示していますが、2020年3月以降、サイトブロックへと移行することが決定されています。

IIS 6.0の環境で、SSL証明書のセキュリティ警告が表示された場合、一日も早くサーバ環境を最新のバージョンにアップされることをお奨めいたします。

IIS 6.0(Windows Server 2003)は、2015年7月15日(日本時間)にマイクロソフト社のサポートが終了したOSです。

サポートが終了したOSは、新たな脆弱性が発見されても修正プログラムが提供されないため、脆弱性を悪用した攻撃を受け、「サーバーが乗っ取られる」「業務が停止する」「機密情報が漏洩する」などの被害に遭う可能性もあります。