Internet ExplorerでHTTPSのWebページ表示が非常に遅いときの対処方法(TLS 1.2起因編)Tech TIPS

Internet Explorer(IE)でHTTPSすなわちSSL/TLS対応のWebサイトにアクセスしたとき、表示し終わるまで非常に時間がかかることがたまにある。それはTLS 1.2という規格に起因している可能性がある。ただし、TLS 1.2を無効化して解決すべきではない。

» 2015年09月11日 00時35分 公開
[島田広道デジタルアドバンテージ]
Tech TIPS
Windows Server Insider


「Tech TIPS」のインデックス

連載目次

対象OS/ソフトウエア:Windows 7/Windows 8/Windows 8.1/Windows 10、Internet Explorer(IE) 8/IE9/IE10/IE 11



解説

 現在、HTTPS接続時に作られる暗号化通信路の仕組みには、Transport Layer Security(TLS)という標準規格が用いられている(古くからあるSSLの方は、すでにその座をTLSに譲り、使わないことが推奨されている)。

 TLSにはバージョン1.0/1.1/1.2があり、どれが実際に使われるかは、WebブラウザーとWebサーバーそれぞれがサポートしている規格の中から、ネゴシエーションによって決定される。

 IEの場合、原因は不明だが、特定のWebページ(Webサイト)とTLS 1.2で接続したとき、ページ表示が完了するのにひどく時間がかかることがたまにある(全てのHTTPSのサイトで生じるわけではない)。

 本TIPSでは、TLS 1.2に起因してWebページの表示が遅くなっているかどうか確認する方法と、どのように対処すべきか、何をすべきでないか、説明する。

設定方法

●TLS 1.2で接続しているかどうか確認する

 まずは表示の遅いWebページ(Webサイト)との接続にTLS 1.2で使われているかどうかを確認しよう。

 それにはまず、対象のWebページをIEで開いた状態で、ブラウザーペインで画像などが表示されていないところを右クリックして、[プロパティ]を選ぶ。するとプロパティ画面が表示されるので、[接続]という項目に注目する。次の画面の(2)のように、暗号化に関する情報が記載されているはずだ。

IEで表示中のWebページで、TLS 1.2が使われているかどうか確認する IEで表示中のWebページで、TLS 1.2が使われているかどうか確認する
これはIEでHTTPS接続のWebページのプロパティを開いたところ。なお、このGoogle検索サイトはTLS 1.2対応のWebページの一例であり、表示が遅くなる現象は発生しなかった。
  (1)ブラウザーペインで何も表示されていないところを右クリックして、表示されたコンテキストメニューから[プロパティ]を選択すると、プロパティが表示される。
  (2)[接続]という項目の先頭に、TLSあるいはSSLのバージョンが表示される。

●TLS 1.2に起因しているかどうか確認する

 もしTLS 1.2で接続していたら、確認のため、IEでTLS 1.2での接続を一時的に無効化してみよう。それにはコントロールパネルかIEの設定メニューから[インターネットオプション]を開き、[詳細設定]タブの「設定」−[セキュリティ]−[TLS 1.2の使用]のチェックを外してオフにする。

IEでTLS 1.2を一時的に無効化する IEでTLS 1.2を一時的に無効化する
これはコントロールパネルまたはIEの設定メニューから[インターネットオプション]を開いたところ。
  (1)詳細設定]タブを選ぶ。
  (2)[TLS 1.2の使用]のチェックを外してオフにすると、TLS 1.2が無効化される。その結果、[TLS 1.0の使用][TLS 1.1の使用]がオンであれば、TLS 1.0またはTLS 1.1で接続されるようになる。ただし、セキュリティ上の危険性が高まるので、TLS 1.2を無効化したまま運用し続けるべきではない(詳細は後で説明する)。
  (3)[SSL 2.0を使用する][SSL 3.0を使用する]はチェックが外れてオフになっていることを確認しておきたい。これらはプロトコル上の致命的な脆弱(ぜいじゃく)性が明らかになっており、現在では使用は非推奨になっている。

 TLS 1.2をオフにしたら、対象のWebページを再読み込みしてみて、表示が速くなったか確認しよう。またWebページのプロパティを開くと、今度はTLS 1.0あるいはTLS 1.1で接続されているはずだ(TLS 1.2が使えない場合、通常はTLS 1.0またはTLS 1.1のどちらかが使われる)。

 なお、上記の設定は、IEのHTTPS接続の全てに反映される。特定のWebページのみTLS 1.2の使用を禁止することはできない。

●TLS 1.2を無効化したまま運用するべきではない

 もしTLS 1.2の無効化後にページの表示が速くなったら、当該環境ではTLS 1.2の接続に何らかの問題が生じていると考えられる。だからといって、TLS 1.2を無効化したままIEを使い続けるべきではない。

 なぜなら、TLS 1.0とTLS 1.1にはプロトコルや実装上の脆弱性が明らかになっており、セキュリティ上の危険性がTLS 1.2より高いからだ。

 また前述のSSL 2.0/3.0と同様に、今後はTLS 1.0/1.1が非推奨になる可能性がある。

 だがTLS 1.2を無効化したままだと、代わりにTLS 1.0/1.1が使われ続けることになる。結果として、脆弱性を悪用した攻撃を受ける危険性が大幅に高まってしまう。

●IEの更新や別のブラウザーの利用を検討すべき

 以上のように恒久的な対策として、TLS 1.2の無効化は適切ではない。動作を確認できたらTLS 1.2は再び有効化しつつ、別の対処方法を検討すべきだ。

 もしWindows Updateで、まだ適用されていないIEあるいはWindows OSの更新プログラムがリストアップされている場合は、それを適用してみて改善しないか確認してみる。あるいは、TLSに関する更新プログラムがないか、マイクロソフトのサポート技術情報を探してみる。以下の例のように、更新プログラムの適用によってTLSに関するサポートが改善され、結果としてページ表示が遅くなる問題が解消される可能性があるからだ。

  • SHA512 is disabled in Windows when you use TLS 1.2[英語](マイクロソフト サポート技術情報)
    この更新プログラムはあくまでもTLSの機能改善(SHA512のサポート拡充)の一例であり、本TIPSで挙げている問題を解消できるわけではない。

 同様の理由から、IEのバージョンが最新でなければ、IEのバージョンを可能な限り上げてみるのも手だ。IEのバージョンアップに伴ってSSL/TLSの機能が拡充されたこともあるからだ。各Windows OSでどのバージョンまでIEを更新できるかは、右上の関連記事を参照していただきたい。

 互換性の問題などからIEのバージョンアップが難しいなら、Google ChromeやMozilla Firefoxのような別のブラウザーで当該Webページを利用できないか、検討してみよう。IEと実装が異なるため、TLS 1.2接続で正常に利用できる可能性は大いにある。

 当該Webページ(Webサーバー)の管理者/運用担当者に問い合わせ可能ならば、サーバー側で対処できないか、相談してみるのもよいだろう。

■更新履歴

【2015/09/11】公開当初、「TLS 1.1は脆弱でTLS 1.2は安全、という関係ではないので、TLS 1.2を無効にして運用しても(現実的にはほぼ)問題ない。」と記していました。しかし実際には、TLS 1.0/1.1にはプロトコルや実装上の脆弱性が明らかになっています。また将来的にTLS 1.0/1.1にもっと致命的な脆弱性が発覚する危険性は否定できません。そのため、TLS 1.2を恒久的に無効化するのはセキュリティ上の危険性が高くなります。そこでTLS 1.2を無効化するのは原因確認のための一時的な設定変更とし、別の対処方法を追記しました。以上、お詫びして訂正いたします。

【2015/09/09】初版公開。


「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。