すべてのプロダクト
Search

このプロダクト

    CDN:TLSバージョンと暗号スイートの設定

    ドキュメントセンター

    CDN:TLSバージョンと暗号スイートの設定

    最終更新日:Feb 22, 2024

    クライアントがポイントオブプレゼンス (POP) へのリクエストを開始すると、POPはリクエストに応答し、通信セキュリティを確保するために設定されたTLSバージョンを使用してトランスポート層セキュリティ (TLS) ハンドシェイクを開始します。 クライアントがバージョンをサポートしていない場合、接続を確立できません。 古いブラウザの互換性とセキュリティのバランスを確保するために、ビジネス要件に基づいてTLSバージョンを設定できます。 以前のTLSバージョンはより多くのブラウザをサポートしますが、セキュリティを低下させます。 新しいTLSバージョンはセキュリティを強化しますが、古いブラウザからのアクセスを制限する可能性があります。

    背景情報

    TLSは、2つのアプリケーション間で送信されるデータのセキュリティと整合性を確保するように設計されています。 TLSの典型的なユースケースはHTTPSです。 HTTPS は、HTTP over TLS とも呼ばれ、セキュアな HTTP です。 HTTPSは、最上位のアプリケーション層 (HTTP) の下およびトランスポート層 (TCP) の上で実行されます。 HTTPSは、データの暗号化および復号化サービスを提供します。

    プロトコル

    説明

    主流ブラウザ

    TLS 1.0

    1999年、RFC 2246はSSL 3.0の更新としてTLS 1.0を導入しました。 ただし、TLS 1.0は、BEASTやPOODLE攻撃などのさまざまな攻撃に対して脆弱です。 TLS 1.0は、暗号化パフォーマンスが弱いため、ネットワーク保護には推奨されなくなりました。 TLS 1.0は、Payment Card Industry Data Security Standard (PCI DSS) に準拠していません。

    • IE 6 +

    • クローム1 +

    • Firefox 2 +

    TLS 1.1

    2006年、RFC 4346はTLS 1.0の更新としてTLS 1.1を導入しました。 TLSは、TLS 1.0の特定の脆弱性を1.1しました。

    • IE 11 +

    • クロム22 +

    • Firefox 24 +

    • サファリ7 +

    TLS 1.2

    2008年、RFC 5246は、広く使用されているTLS 1.2であるTLSバージョンを導入しました。

    • IE 11 +

    • クローム30 +

    • Firefox 27 +

    • サファリ7 +

    TLSv1.3

    2018年、RFC 8446は最新のTLSバージョンとしてTLS 1.3を導入しました。 TLS 1.3は、ゼロラウンドトリップ時間 (0-RTT) モードをサポートし、より高速な接続を確立できます。 TLS 1.3は、セキュリティを強化するための完全な前方秘密の鍵交換アルゴリズムのみをサポートします。

    • クローム70 +

    • Firefox 63 +

    手順

    SSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。

    説明

    デフォルトでは、TLS 1.0、TLS 1.1、およびTLS 1.2が有効になっています。

    1. Alibaba Cloud CDNコンソール

    2. 左側のナビゲーションウィンドウで、ドメイン名 をクリックします。

    3. [ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。

    4. ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。

    5. TLS 暗号スイートとバージョンの設定 セクションで、暗号スイートを選択し、TLSバージョンを有効にします。

      TLS版本控制

      次の暗号スイートがサポートされています。 ビジネス要件に基づいて暗号スイートを選択します。

      • すべての暗号スイート: 低いセキュリティと高い互換性を提供します。 サポートされている暗号化アルゴリズムの詳細については、「デフォルトのTLS暗号化アルゴリズム」をご参照ください。

      • 強力な暗号スイート: 高いセキュリティと低い互換性を提供します。 サポートされる暗号化アルゴリズム:

        • TLS_AES_256_GCM_SHA384

        • TLS_AES_128_GCM_SHA256

        • TLS_CHACHA20_POLY1305_SHA256

        • ECDHE-ECDSA-CHACHA20-POLY1305

        • ECDHE-RSA-CHACHA20-POLY1305

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES128-CCM8

        • ECDHE-ECDSA-AES128-CCM

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES256-CCM8

        • ECDHE-ECDSA-AES256-CCM

        • ECDHE-ECDSA-ARIA256-GCM-SHA384

        • ECDHE-ARIA256-GCM-SHA384

        • ECDHE-ECDSA-ARIA128-GCM-SHA256

        • ECDHE-ARIA128-GCM-SHA256

      • カスタム暗号スイート: ビジネス要件に基づいて暗号スイートを選択します。

      TLSバージョンの詳細については、「背景情報」をご参照ください。

    推奨される設定

    シナリオ

    推奨バージョン

    以前のバージョンのブラウザとの互換性が必要であり、セキュリティは優先事項ではありません

    TLS 1.0、TLS 1.1、およびTLS 1.2

    セキュリティは優先事項であり、特定のブラウザとの非互換性は許容されます

    TLS 1.2

    アーリーアダプター

    TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3