【重要情報】WASV8.5.5：Webサーバーが非セキュア・トランスポートを使用する場合の動作変更(WAS-13-016)

Content

WebサーバーとWAS (WebSphere Application Server) が構成されているシステムにおいて、WebサーバーがWASと通信する際、非セキュア・トランスポート(HTTP通信)あるいはセキュア・トランスポート(HTTPS通信)のいずれかを使用します。
デフォルトの設定では、非セキュア・トランスポートとセキュア・トランスポートの両方が使用可能になっており、それぞれ明示的に無効化することもできます。

V8.5.5.0より前の全てのバージョンにおいては、セキュア・トランスポートで通信しようとしてポートが使用できない場合(明示的に無効化している場合も含む)は自動的に非セキュア・トランスポートを使用するという動作でしたが、V8.5.5.0からは、下記リンク先の通り、セキュリティー上の理由により実装が変更され、セキュア・トランスポートが使用できない場合はクライアント側にエラーを返すという動作になりました。
V8.5.5.0以降において以前と同じ動作にさせるためには、Webサーバー・プラグインのカスタム・プロパティー「UseInsecure」を「true」に設定します。
PM85452: IF THE WEBSERVER PLUGIN CAN NOT OBTAIN A SECURE CONNECTION, IT SHOULD NOT ATTEMPT TO USE A NON-SECURE CONNECTION.　


【対象環境】
対象OS：
全プラットフォーム
対象WASバージョン：
WAS V8.5 / V8.5.5


【詳細】
WebサーバーとWASが構成されているシステムにおいて、WebサーバーがWASと通信する際、非セキュア・トランスポート(HTTP通信)あるいはセキュア・トランスポート(HTTPS通信)のいずれかを使用します。
デフォルトの設定では、非セキュア・トランスポートとセキュア・トランスポートの両方が使用可能になっており、それぞれ明示的に無効化することもできます。


V8.5.5.0より前の全てのバージョンにおいては、セキュア・トランスポートで通信しようとしてポートが使用できない場合(明示的に無効化している場合も含む)は自動的に非セキュア・トランスポートを使用するという動作でした。



ところが、下記リンク先の通り、セキュリティー上の理由により、V8.5.5.0から実装が変更され、セキュア・トランスポートが使用できない場合はクライアント側にエラーを返すという動作になりました。

PM85452: IF THE WEBSERVER PLUGIN CAN NOT OBTAIN A SECURE CONNECTION, IT SHOULD NOT ATTEMPT TO USE A NON-SECURE CONNECTION.



クライアントとWebサーバー間においてSSL通信を行っている場合、非セキュア・トランスポートとセキュア・トランスポートの両方が使用可能な状態であれば、自動的にWebサーバーとWAS間もセキュア・トランスポートを使用したSSL通信を行います。
多くのシステムにおいて、パフォーマンスの観点からWebサーバーとWAS間のSSL通信を避けるためにセキュア・トランスポートを無効化することにより、WebサーバーとWAS間を非セキュア・トランスポートを使用した非SSL通信にさせる対応が取られていますが、このような場合もV8.5.5.0ではエラーを返す動作となりますので、ご注意ください。
クライアントとWebサーバー間において通常のHTTP(非SSL)通信を行っていて、非セキュア・トランスポートが使用される場合は問題ありません。


V8.5.5.0以降において以前と同じ動作にさせるためには、Webサーバー・プラグインのカスタム・プロパティー「UseInsecure」を「true」に設定します。
具体的には、管理コンソールのメニューから「サーバー」＞「サーバー・タイプ」＞「Webサーバー」＞「<Webサーバー名>」＞「プラグイン・プロパティー」＞「カスタム・プロパティー」を選択し、名前を「UseInsecure」、値を「true」としてカスタム・プロパティーを追加します。

<管理コンソール画面>


このカスタム・プロパティーを追加すると、プラグイン構成ファイル(plugin-cfg.xml)には以下の太字の項目が追加されます。

<プラグイン構成ファイル(plugin-cfg.xml)一部抜粋>