初心者でも分かる！SSLをオフにする手順と注意点を解説

はじめに

本調査は「ssl をオフにする」という検索意図を分析し、関連する技術手順を整理したものです。対象はSSL/TLS通信の無効化、ロードバランサ（例: NetScaler）でのSSLオフロード、ウイルス対策ソフト（例: ESET）でのSSL検査からの除外、AD FSでのプロトコル無効化などです。具体的な設定手順と運用上の注意点をまとめます。

対象読者

• サーバ／ネットワーク管理者
• セキュリティ担当者
• 組織内で運用方針を決める方

本書の狙い

• 「なぜSSLをオフにするのか」を明確にします（互換性、検査回避、負荷分散など）。
• リスクと代替策を提示します（暗号化を無効にすると通信が平文になる等）。
• 手順を実例で示します（NetScalerのオフロード、ESETの除外設定、AD FSのプロトコル管理）。

注意事項

• 暗号化を無効にする場合は必ずリスク評価と段階的な検証を行ってください。
• 本書は操作手順の概要を示します。実施前にバックアップとテスト環境での確認を強く推奨します。

以降の章で各手順と設定例を丁寧に解説します。

NetScaler SSL オフロード構成

概要

NetScalerのSSLオフロードは、クライアントとロードバランサー間の暗号化処理をNetScalerが担当し、バックエンドは平文で通信する構成です。処理負荷をサーバーから移せるため、サーバー性能を効率化できます。

前提条件

• 管理者権限があること
• 証明書（PEM/PKCS#12）と秘密鍵を用意すること
• バックエンドが信頼できるネットワーク内にあること

GUIでの手順（例）

1. NetScaler管理画面で「システム > 設定」を開く
2. SSLオフロードを有効化する
3. 「System > Certificates」で証明書と秘密鍵をインポート（PKCS#12はパスフレーズ入力）
4. 仮想サーバー作成時に証明書をバインド

CLIでの主なコマンド例

• 証明書追加: add ssl certKey mycert -cert “mycert.pem” -key “mykey.pem”
• 仮想サーバー設定: add lb vserver v_vip HTTP 192.0.2.10 80
• SSL vserver作成: add ssl vserver v_ssl VIP 443 -ssl3 disabled -tls1.2 ENABLED
• バインド: bind ssl vserver v_ssl -certkeyName mycert
• 暗号設定変更: set ssl vserver v_ssl -sslProfileName custom_profile

SNIと複数証明書

NetScalerは複数証明書を同一VIPにバインドできます。SNIを有効にすると、ホスト名に応じて適切な証明書を返します。ワイルドカードやSAN証明書も利用可能です。

運用上の注意点

• バックエンドへの平文通信は内部ネットワーク内に限定してください。必要ならばバックエンドにもTLSを終端させる再暗号化（SSLブリッジ）を検討してください。
• 証明書更新時は新しい証明書をインポートして既存vserverに再バインドします。ダウンタイムを最小化するために事前検証を行ってください。
• 動作確認はブラウザだけでなく、openssl s_client等で証明書チェーンやプロトコルを確認してください。

ESET SSL/TLS通信検査対象からの除外

概要

ESETのSSL/TLS通信検査は、暗号化された通信を中間で復号して検査します。特定のWebサイトだけ検査から除外すると、対象サイトの通信をそのまま通すことができます。例えば、社内のAD FSや証明書ベースのサービスでは除外が必要な場合があります。

操作手順（画面操作）

1. ESETのメイン画面を開きます。
2. 「設定」→「詳細設定」を選びます。
3. 「保護」→「SSL/TLS」を開きます。
4. 「証明書ルール」の編集をクリックします。
5. 除外したいURLを追加します（例: https://adfs.example.local や *.example.com）。
6. 追加したルールの「検査アクション」を「無視」に設定します。

設定の注意点

• 除外は最小限にとどめます。検査を無効化すると、そのサイトの脅威検出が行われなくなります。
• パターン指定はワイルドカードが使えますが、広すぎる指定は避けます。
• 設定後はブラウザのキャッシュをクリアするか、ブラウザを再起動して動作確認してください。

動作確認方法

• 対象サイトに接続して、ログインや証明書エラーが解消されるか確認します。
• ESETのログや検出履歴で該当ホストの検査が行われていないことを確認します。

必要に応じて、具体的なURL例や社内ポリシーに合わせた記述を追加します。

AD FS の SSL/TLS プロトコル管理

概要

AD FS は Windows の TLS/SSL 実装（Schannel）を使います。古い SSL 3.0 や TLS 1.0 は脆弱性があるため無効化を推奨します。組織のクライアントや連携サービスが TLS 1.2 以上に対応しているかを確認してから切り替えてください。

推奨手順（実務的な流れ）

1. 事前確認

2. 利用中のクライアントや古いアプリが TLS 1.2 をサポートするか確認します。例：古いブラウザやレガシー機器。

3. OS 側でプロトコルを管理

4. レジストリで無効化します（例：TLS 1.0 のサーバ側を無効化）。
5. キー: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server
6. 値: “Enabled”=0（DWORD）、”DisabledByDefault”=1（DWORD）

7. 同様に SSL 3.0、TLS 1.1 を設定します。

8. 暗号スイートの整理

9. 優先度は ECDHE + AES-GCM 系を推奨します。GUI ツール（例：IIS Crypto）か GPO で順序を設定します。

10. .NET と AD FS の設定確認

11. .NET を使うアプリでは強力暗号を有効にするレジストリを設定します（例: SchUseStrongCrypto=1）。
12. 変更後、AD FS サービス（adfssrv）と Web Application Proxy を再起動します。

検証と対応

• 外部: SSL Labs などで公開フェンドポイントをスキャンします。
• 内部: openssl の s_client や PowerShell で古いプロトコルが拒否されることを確認します。

注意点

• 変更は段階的に行い、障害時のロールバック手順を用意してください。WAP などプロキシも忘れずに更新します。

必要であれば、具体的なレジストリ操作やテストコマンド例を追記します。