
Windows 11 における TLS 1.3 とクライアント証明書要求に影響する変更
マイクロソフト社員のマット・ハムリック氏による最近の声明では、Windows 11におけるトランスポート層セキュリティ(TLS)1.3の実装における大幅な変更、特にインターネット インフォメーション サービス(IIS)とIIS Expressによるクライアント証明書要求の管理方法についての大幅な変更が強調されています。TLS 1.3で「再ネゴシエーション」と呼ばれるプロセスがサポートされていないことが、この問題の中心的な問題となっています。マイクロソフトはこの変更をセキュリティと効率性の向上を目的として導入し、クライアント認証における機密性を維持しながら、ラウンドトリップを最小限に抑え、CPUオーバーヘッドを削減できると述べています。
セキュリティと互換性のトレードオフ
この変化は、Microsoft がセキュリティとパフォーマンスの強化を目指している一方で、特にオペレーティング システム内の特定の機能に関して、結果として特定の互換性の問題が生じていることを示しています。
TLS再ネゴシエーションの理解
背景を説明すると、TLS再ネゴシエーションはTLS 1.2以前のプロトコルで利用可能な機能で、サーバーは既に暗号化されたセッション内で追加のハンドシェイクを開始し、クライアント証明書を要求することができました。Windowsでは、この再ネゴシエーションプロセスはHTTPスタック(と呼ばれますhttp.sys
)とSchannelセキュリティパッケージによって促進され、最初のハンドシェイクが完了した後にのみIISまたはIIS Expressが制御を引き継ぐことができます。
最新のWindowsバージョンにおける動作の変更
Windows 11 24H2 または Windows Server 2022 より前のバージョンを実行しているインストールでは、http.sys
クライアント証明書が必要であるにもかかわらず初期セットアップに含まれていない場合、特にクライアントがハンドシェイク後の認証をサポートしていない場合は、接続が終了していました。しかし、Windows 11 24H2 および Windows Server 2025 以降では、http.sys
ハンドシェイク後にクライアント証明書が要求された際に「サポートされていません」というエラーが返されるようになりました。このエラーが発生すると、IIS は HTTP 500 ステータスとエラーコード 0x80070032 で応答し、「ERROR_NOT_SUPPORTED」を示します。
ハンドシェイク後の認証の制限
Microsoftは、TLS 1.3では再ネゴシエーションが禁止されていることを明確にしました。このプロトコルでは、ハンドシェイク後のクライアント認証と呼ばれる代替手段が導入されていますが、主要なWebブラウザを含むほとんどのユーザーはまだこれを実装していません。この制限により、クライアント証明書は最初のハンドシェイクプロセス中に要求する必要があります。そうしないと、セッションの後半で要求できなくなります。http.sys
ハンドシェイクの完了後に動作するIISとIIS Expressのアーキテクチャ上、クライアント証明書が最初に要求されるように事前の設定が必要です。
今後の修正と現在の状況
2025年8月下旬現在、MicrosoftはIIS Expressに対する解決策を提示していないため、ハムリック氏は修正プログラムがリリースされるかどうかについて不透明感を表明した。「正直なところ、修正プログラムがリリースされるかどうか、またリリースされたとしてもどのようなものになるのかは分かりません」と述べ、決断に迷っていることを明かした。
インターネット インフォメーション サービス (IIS) について
インターネット インフォメーション サービスは、Windows オペレーティング システム上でウェブサイトやアプリケーションをホスティングするために設計された、Microsoft の堅牢で拡張可能なウェブ サーバーです。TLS /SSL 暗号化の管理にはIIS
Windows カーネル ドライバーを使用しますHTTP.sys
。HTTPS バインディングを構成すると、IIS はこのバインディングを記録しapplicationHost.config
、HTTP.sys
クライアントとの TLS ネゴシエーションの処理に活用します。その後、復号化された HTTP リクエストを IIS に渡してさらに処理を行います。
IIS Express とは何ですか?
一方、IIS Expressは、開発およびテスト用途に最適化され、軽量で自己完結型のIIS(バージョン7以降)です。Webアプリケーションの管理にWindowsプロセスアクティブ化サービスを必要とする本番環境向けの完全版IISとは異なり、IIS Expressは管理者権限なしで様々な機能を操作でき、設定も簡素化されています。
さらに詳しい情報については、 Microsoft の Tech Community の公式ブログ投稿をご覧ください。
コメントを残す