locked
Cognitive Services への接続には TLS 1.2 をご利用ください RRS feed

  • 質問

  • セキュリティ強化のため、Cognitive Services における TLS バージョン 1.0 および 1.1 のサポートを将来的に廃止することを計画しています。
    このため、現在 TLS 1.0 や 1.1 をお使いでしたら、早急に TLS 1.2 への移行を検討してください。
    2019年2月7日 6:51

すべての返信

  • [詳細]
    下記アナウンスのとおり、Cognitive Services の基盤として採用されている Azure API Management は、2018 年 6 月 30 日の時点で、TLS 1.2 のみを有効とし、TLS 1.0 および 1.1 に関しては明示的に有効化しない限り無効としています。

      Upcoming changes to TLS defaults in API Management required to maintain compliance
      <https://blogs.msdn.microsoft.com/apimanagement/2018/02/08/upcoming-changes-to-tls-defaults-in-api-management-required-to-maintain-compliance/>

    2019 年 2 月 6 日現在、Cognitive Services のエンドポイント (例. westus.api.cognitive.microsoft.com) への接続で TLS 1.0 および 1.1 をサポートするかどうかは、そのエンドポイントのリージョンによって異なります。
    以前から提供されているリージョンのエンドポイント (westus.api.cognitive.microsoft.com など) については、互換性維持のため TLS 1.0 および TLS 1.1 が有効化されています。
    一方で Japan East (japaneast.api.cognitive.microsoft.com)、Japan West (japanwest.api.cognitive.microsoft.com) など、比較的最近 Cognitive Services の提供が開始されたリージョンについては、既定で TLS 1.2 のみをサポートとしているため、TLS 1.0 または1.1 で接続を試行すると、TLS のネゴシエーション中に古いプロトコルと判定されて切断されます。
    その結果、たとえば .NET Framework (C#) の HTTPClient クラスをご利用の場合 Socket Exception が発生し、サービスが利用できなくなることが予想されます。

    今後プロトコル ダウングレード攻撃を受ける可能性や古いバージョンの TLS に関する脆弱性が懸念されるため、現在 TLS 1.0 および 1.1 をサポートしているエンドポイントについても、古い TLS のバージョンのサポートを廃止する予定です。
    重大な脆弱性が発見されたなど、緊急での対応が必要な場合を除き廃止はアナウンス後となる予定ですが、今後弊社を含めた多くの Web サービス / ブラウザーでセキュリティ向上の観点から古い TLS のバージョンのサポートは廃止される見込みのため、TLS 1.0 および 1.1 をご利用のお客様は早めに TLS 1.2 への移行をご検討いただけますと幸いです。

    2019年2月7日 6:51
  • [ご参考]
    .NET Framework における対応方法については以下のブログ記事をご参照ください。

      .NET Framework で TLS1.1 および 1.2 を有効化する方法 -まとめ-
      <https://blogs.technet.microsoft.com/jpieblog/2018/10/11/net-framework-tls11-12-2/>

    2019年2月7日 6:52