1. 変更の理由

TLS 1.0（およびSSLプロトコル）の脆弱性には、 POODLE 、 DROWN。 このようなセキュリティリスクのため、Liferayは他の多くの企業が行っているように、TLS 1.0を無効にすることを決定した。

TLS 1.1以上に移行することで、ユーザーはLiferayとLiferay.com間の通信を安全に保つことができます。

LiferayシステムがサポートするTLSのバージョン：

TLS 1.1以上をサポートします。

2. 影響を受けるLiferayポータルとDXPの機能

• アプリ
• ライセンス（注文IDによる）：
  • このアクティベーション方法はPortalとDXPインスタンスでは非推奨ですが（まだ使っているデプロイメントもあるかもしれませんが）、Marketplaceアプリではまだ使われており、注文を検証するために特定のLiferayサーバーにアウトバウンドHTTPS接続を行う必要があります。
  • これらの接続がどのような影響を受けるかについては、以下の "Deployment impact" セクションを参照してください。
  • Liferay インスタンスのアクティベーション方法を決定するには、 の記事を参照してください。

3. 影響を受けるLiferayサービスとウェブサイト

• api.liferay.com
• cdn.lfrs.sl
• community.liferay.com
• customer.liferay.com
• demo.liferay.com
• dev.liferay.com
• downloads.liferay.com
• フォーム
• learn.liferay.com
• ライフレイ・ドット・コム
• liferay.com.br
• liferay.com.cn
• liferay.de
• liferay.es
• liferay.org
• マーケットプレイス
• mp.liferay.com
• オリジン
• partner.liferay.com
• services.liferay.com
• サポート
• translate.liferay.com
• www.liferay.com
• releases.liferay.com（予定）
• repository.liferay.com (予定)

4. 顧客と配備への影響

リモートサーバー（Liferayサービスやウェブサイトを含む）にアウトバウンド接続するLiferay PortalやDXPの機能やアプリケーションがあります。 サーバー管理者は、より高いTLSプロトコルバージョンを使用してセキュアな接続を開始できるように、またTLS 1.0にフォールバックしないように、配備設定を見直して（必要に応じて）調整してください。

5. 配備に関する緩和措置

# 技術情報

• https.protocolsと呼ばれる Java システム・プロパティが用意されており、特定の場合に Java クライアントが使用するプロトコルのバージョンを制御します（詳細は Oracle のブログ TLS、SSL、HTTPS の診断を参照してください）。
• Java 8では、デフォルトのクライアント側TLSバージョンはTLS 1.2である（TLS 1.1もサポートされており、 ）。
• Java 7では、デフォルトのクライアント側TLSバージョンはTLS 1.0だが、TLS 1.1と1.2もサポートされている 、ただし手動で有効にする必要がある。 Java 7u111では、TLS 1.1および1.2もデフォルトで有効になっているが、このアップデートはオラクルの顧客のみが利用できる。
• Java 6では、デフォルトで唯一のクライアント側TLSバージョンはTLS 1.0である。 Java 6u111では、TLS 1.1もサポートされていますが、このアップデートはオラクルのお客様のみご利用いただけます。

これらの結果、Liferay PortalとDXPの導入は異なる影響を受けます。

# Liferay DXP 7.0、7.1、7.2

Liferay DXP は Java 8を必要とするので、これらのデプロイメントでは TLS 1.1 と 1.2 がデフォルトで有効になっており、アウトバウンド接続がより高いセキュアなプロトコルのバージョンを使用できるようになっています。 サーバーのセキュリティを向上させるために、Liferayは上記のシステムプロパティを使ってクライアント（アウトバウンド接続）のTLS 1.0を無効にすることを推奨します。

# Liferay Portal 6.1 および 6.2 EE

Liferay Portal 6.2 EEと6.1 EE GA3バージョンは、デフォルトでTLS 1.1とTLS 1.2が有効になっている Java 8をサポートしています。 Liferay DXPのインストールと同様に、Liferayは上記のシステムプロパティを使ってクライアント（アウトバウンド接続）のTLS 1.0を無効にすることを推奨します。

Java 7 で動作している Liferay Portal 6.1 と 6.2 EE のデプロイメントは、Java 8 への移行を検討する必要があります。

6. 既知の問題

https.protocols システムプロパティ を手動で設定し、送信 HTTPS 接続で許可される TLS プロトコルを制御できない既知の問題 があります。

# いつ修理が必要ですか？

• Java 8 。この修正を適用して、送信側HTTPSリクエストのTLS 1.0を無効にするとよいでしょう。 Java 8では、TLS 1.1と1.2がデフォルトで有効になっている。 → 推奨
• Java 7 。Java 7u111を使用している場合を除き、アウトバウンドHTTPS接続でTLS 1.1/1.2を有効にする（およびTLS 1.0を無効にする）には、この修正が必要です。 →

# どうすれば修正できますか？

ユーザーは、以下の方法で LPE-16580 の修正プログラムにアクセスできます：

• Liferay DXP 7.2： LPE-16580 がLiferay DXP 7.2に組み込まれているため、Fix Packは必要ありません。
• Liferay DXP 7.0、7.1: お客様は、最新のフィックスパック（7.0 Fix Pack 64+ または 7.1 Fix Pack 4+）をダウンロードするか、ヘルプセンターのチケットを開いてホットフィックスをリクエストすることができます。
• Liferay 6.2 EE, 6.1 EE GA3: お客様は、最新の修正パックをダウンロード（Portal-169+ または Portal-71+）するか、ヘルプセンターのチケットを開いてホットフィックスをリクエストすることができます。

7. 導入に関する注意事項 - インバウンド・トラフィック

Liferayはまた、サーバー管理者がすべてのLiferay PortalとDXPのデプロイメントで、TLS 1.0のサポートを無効にし、インバウンドトラフィックでより高いTLSプロトコルを有効にすることを推奨します。 TLSを有効にして構成するための実際の設定は、各導入環境で異なる可能性があるため、システム管理者はアプリケーションサーバーのドキュメントを参照し、必要な変更を適用してください。

8. 関連リソース

• Liferay ナレッジベース： Liferay DXPの有効化
• Liferayからのお知らせ（2018年11月1日）： Liferay サービスおよびウェブサイトにおけるインバウンドトラフィックの TLS 1.0 無効化について
• Oracle ドキュメント： JDK 8 セキュリティの強化
• Oracle ドキュメント： Java SE 7 セキュリティの強化
• オラクルブログ： JDK 8ではTLS 1.2をデフォルトで使用
• オラクル・ブログ TLS、SSL、およびHTTPSの診断
• JDKバグシステム： JDK-7093640 デフォルトでクライアント側 TLS 1.2 を有効にする
• オラクル・ドキュメント Java SE Development Kit 7, Update 95 (JDK 7u95)
• IBMのサポート Javaクライアントアプリケーションが使用するデフォルトのSSLプロトコルを変更するにはどうすればよいですか？