[Jira] JiraおよびJira Service Managementの暗号スイートの更新による影響について

2024年7月31日更新 2024年7月29日に送信された「[JIRA] TLS cipher suites are being deprecated by August 5, 2024」の主題を持つメールについてのご報告です。この廃止予告の送信先として想定されていたのは、基本認証 (Googleの基本認証を除く) を使うように設定されたメールサーバーを持つJira管理者でした。しかしながら、弊社では本メールを、次のようなサイトの管理者を含むすべてのJira管理者に意図せず送信してしまいました。 Google/Microsoft OAuthまたはアトラシアンの既定Cloudメールサーバーが設定された受信箱を使用、または Jiraで新しい課題やコメントの作成に受信メール機能を使用していない この2つのカテゴリのいずれかに該当する場合、メールはご放念ください。このたびはご迷惑をおかけしてしまい申し訳ありません。 また、影響を受ける環境についての混乱を和らげるため、次のことを行いました。 このコミュニティ投稿を編集し、コメントでいただいていた質問のほとんどに対する回答を含めました サポート対象外の暗号スイートのサポートを2024年9月2日まで延長し、お客様側で必要な変更を行うための十分なリードタイムを提供できるようにしました

---

2024年8月5日に、JiraおよびJira Service ManagementのTLS (Transport Layer Security) 設定の更新を開始し、他のAtlassian Cloud製品に合わせます。これにはいくつかの比較的弱い暗号スイートのサポート終了が含まれます。

この変更は次の機能を使っているサイトに影響する可能性があります。

• Jiraで新しい課題やコメントを作成する受信メール機能

• Jira Service Managementで新しいリクエストを登録したりメール通知に返信したりするメールリクエスト機能

影響を受けるサイト

Jiraの場合

廃止予告による影響を確認するには、Jiraの受信メール機能 (歯車アイコン > [システム] > [受信メール]) に移動し、[受信メールサーバーを設定] セクションに ‘基本’ 認証タイプが表示されているかどうかを確認します (以下のスクリーンショットを参照)。

注意: 次のいずれかに該当する場合、対応は不要です。

• Google/Microsoft OAuthやGoogle基本認証が設定されたメールサーバー、またはアトラシアンの既定Cloudメールサーバーを使っている。または

• Jiraでの新しい課題の作成やコメントの追加に受信メール機能を使っていない

Jira Service Managementの場合

この変更の対象かどうかを確認するには、サイトのいずれかのサービスプロジェクトが基本認証で接続された外部のメールアカウントから新しいリクエストを受け取るよう設定されているかを確認します。つまり、[プロジェクト設定] の [メールによるリクエスト] ページで [その他] (または [その他で続行]) を選択して外部メールアカウントを接続している場合、それは基本認証を使って接続されています。

注意: 以下に該当する場合、対応は不要です。

• Google/Microsoft OAuthやGoogle基本認証が設定されたメールサーバー、またはアトラシアンの既定Cloudメールサーバーを使っている。
  
  

この変更の影響を受ける場合

ご利用のサイトが本変更の影響を受ける場合、変更を有効化する前に弊社からご連絡します。事前に変更に備えたい場合は次の手順をご利用いただけます。

Jiraの場合

• お客様の組織でJiraの受信メール機能にセルフホステッドまたはサードパーティのメールサーバーを使用している場合、アトラシアンでサポートされる暗号スイートがそれらで使われているかどうかを社内のITチーム/サービスプロバイダーにお問い合わせください。

• 廃止後にJira > 設定 > システム > 受信メール > メールハンドラー (すでに動作している基本認証サーバーで設定済み) > 編集 > 次へ > テストで接続をテストできます。テストに成功する場合、サポート対象の暗号が使われているため、対応は不要です。

Jira Service Managementの場合

• お客様のサービスプロジェクトで [プロジェクト設定] > [メールによるリクエスト] の順に移動します。基本認証を使って接続されている外部のメールアカウントがある場合、その受信メールサーバーのホスト名を確認します。メールアカウントのメールサーバーがセルフホステッドなのか、サードパーティのメールサーバーを使用しているのかに応じて、社内のITチーム/サービスプロバイダーに暗号の詳細をお問い合わせください。
  

• 廃止後に接続ログ (プロジェクト設定 > メールによるリクエスト > ログを表示 > 接続ログ) を参照し、接続されたメールアカウントのステータスが Remote host terminated the handshake エラーを受けて失敗と表示されているどうかを確認できます。Supported cipher suites as of August 5, 2024

2024年8月5日以降にサポートされる暗号スイート

2024年8月5日時点で、ご利用のメールサーバーでは以下の暗号スイートの少なくとも1つを使用するTLS接続が許可されている必要があります。

• TLS_AES_128_GCM_SHA256

• TLS_AES_256_GCM_SHA384

• TLS_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

この問題を解決する方法

JiraおよびJira Service Managementで、基本認証を使用して接続されているメールサーバーを特定します。その後、ご利用の受信メールサーバーに応じて次の手順に従います。

• セルフホステッドのメールサーバーの場合、社内のITチームに問い合わせて、サポート対象の暗号スイートが使われていることを確認します。

• サードパーティが管理するメールサーバーの場合、公式webサイトでサポートドキュメントを確認するかサービスプロバイダーに問い合わせます。サービスプロバイダーでアトラシアンのサポート対象の暗号が使用されていることをご確認ください。

• Google基本認証を使用している場合、最新の暗号がサポートされているため特別な対応は不要です。ただし、将来的に問題が発生する可能性を減らすために、OAuth経由での接続を推奨します。

• Jira Service Managementの場合、ご利用のサイトの複数のサービスプロジェクトがそれぞれ異なるメールサーバーの外部メールアカウントに接続されているようであれば、すべてのメールサーバーを対象にこの確認を行う必要があります。

弊社ではシステムのアップグレードは複雑な作業になる可能性があることを理解していますが、お客様のデータセキュリティの確保は弊社の最優先事項です。古く安全性の低い暗号スイートの無効化にご協力いただき感謝申し上げます。問題が続く場合はサポートチームにお問い合わせください。