TLS セキュリティポリシーのカスタマイズ方法 - Anti-DDoS

Anti-DDoS Pro および Anti-DDoS Premium では、Transport Layer Security (TLS) ポリシーをカスタマイズできます。Anti-DDoS Pro または Anti-DDoS Premium によって保護されている Web サイトの TLS プロトコルバージョンと暗号スイートを設定できます。Web サイトの TLS セキュリティポリシーを変更すると、Anti-DDoS Pro または Anti-DDoS Premium インスタンスは、設定された TLS プロトコルバージョン、暗号スイート、および National Transport Layer Security (NTLS) 設定に基づいて、Web サイトのドメイン名へのリクエストトラフィックを処理します。要件を満たさないリクエストはドロップされます。このトピックでは、TLS セキュリティポリシーをカスタマイズする方法について説明します。

サポートされている TLS プロトコルバージョン

Anti-DDoS Pro および Anti-DDoS Premium (中国本土) は、国際標準の HTTPS 証明書と NTLS ベースの HTTPS 証明書の両方をサポートします。Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外) は、国際標準の HTTPS 証明書のみをサポートします。

次の表に、HTTPS 証明書をアップロードした後のデフォルトの TLS バージョンと設定可能な TLS プロトコルバージョンを示します。

証明書タイプ

デフォルトの TLS バージョン

設定可能な TLS プロトコルバージョン

国際標準の HTTPS 証明書

Anti-DDoS Pro および Anti-DDoS Premium (中国本土): デフォルトで TLS 1.0、TLS 1.1、および TLS 1.2 がサポートされています。

Anti-DDoS Pro および Anti-DDoS Premium (中国本土以外): デフォルトで TLS 1.1 および TLS 1.2 がサポートされています。

TLS プロトコルバージョンと対応する暗号スイートを変更できます。次のプロトコルバージョンがサポートされています。

TLS 1.0 以降 (TLS 1.0、TLS 1.1、および TLS 1.2 を含む)
TLS 1.1 以降 (TLS 1.1 および TLS 1.2 を含む)
TLS 1.2 以降 (TLS 1.2 を含む)

説明

TLS 1.3 を使用するには、[TLS 1.3 サポートを有効にする] スイッチをオンにする必要があります。

たとえば、中国本土に Anti-DDoS Pro または Anti-DDoS Premium インスタンスがあるとします。ビジネスが Payment Card Industry Data Security Standard (PCI DSS) 3.2 に準拠する必要がある場合、TLS 1.0 プロトコルを無効にすることをお勧めします。これを行うには、[HTTPS 証明書の TLS バージョン] を [TLS 1.1 以降。優れた互換性とセキュリティ。] に設定します。別のビジネスのクライアントが TLS 1.3 サポートを必要とする場合は、[TLS 1.3 サポートを有効にする] スイッチをオンにします。

Guomi HTTPS 証明書

デフォルトで NTLS 1.1 がサポートされています。

TLS プロトコルバージョンと暗号スイートは変更できません。

前提条件

Web サイト設定を追加し、その [プロトコルタイプ] に [HTTPS] を含めるように設定していること。詳細については、「Web サイト設定の追加」をご参照ください。

国際標準の HTTPS 証明書の TLS セキュリティポリシーを変更する

Anti-DDoS Proxy コンソールの Web サイト設定ページにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
- Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。
- Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。
ドメイン接続 ページで、ターゲットドメイン名を見つけ、操作列の編集をクリックします。

Modify Website Configurations タブで、国際標準の HTTPS 証明書の TLS セキュリティ設定 を変更します。

設定項目

説明

TLS バージョン :

国際標準の HTTPS 証明書でサポートされている TLS プロトコルバージョンを選択します。オプション:

TLS 1.0 以降。最高の互換性、低いセキュリティ。: TLS 1.0、TLS 1.1、および TLS 1.2 をサポートします。
TLS 1.1 以降。優れた互換性とセキュリティ。: TLS 1.1 および TLS 1.2 をサポートします。
TLS 1.2 以降。優れた互換性、高いセキュリティ。: TLS 1.2 をサポートします。

説明

必要に応じて、TLS 1.3 サポートを有効にし、カスタム暗号スイート設定で対応する TLS 1.3 スイートを選択することもできます。

暗号スイート :

国際標準の HTTPS 証明書でサポートされている暗号スイートを選択します。

説明

暗号スイートオプションの横にあるアイコンにポインターを合わせると、そのオプションに含まれる暗号スイートを表示できます。

すべての暗号スイート。低いセキュリティ、高い互換性。 (デフォルト)
このオプションには、次の暗号スイートが含まれます:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- AES128-GCM-SHA256
- AES256-GCM-SHA384
- AES128-SHA256
- AES256-SHA256
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
- ECDHE-RSA-AES128-SHA
- ECDHE-RSA-AES256-SHA
- AES128-SHA
- AES256-SHA
- DES-CBC3-SHA
拡張暗号スイート。非常に高いセキュリティ、非常に低い互換性。
このオプションは、[TLS バージョン] が [TLS 1.2 以降。優れた互換性、高いセキュリティ。] に設定されている場合にのみ使用できます。
このオプションには、次の暗号スイートが含まれます:
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
強力な暗号スイート。高いセキュリティ、低い互換性。
このオプションは、[TLS バージョン] が [TLS 1.2 以降。優れた互換性、高いセキュリティ。] に設定されている場合にのみ使用できます。
このオプションには、次の暗号スイートが含まれます:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
- ECDHE-ECDSA-AES128-SHA
- ECDHE-ECDSA-AES256-SHA
カスタム暗号スイート
このオプションでは、利用可能なすべてのスイートから 1 つ以上の暗号スイートを選択できます。TLS 1.3 を有効にする場合は、次のスイートを選択します:
- TLS_AES_256_GCM_SHA384 (TLS 1.3)
- TLS_CHACHA20_POLY1305_SHA256 (TLS 1.3)
- TLS_AES_128_GCM_SHA256 (TLS 1.3)
- TLS_AES_128_CCM_8_SHA256 (TLS 1.3)
- TLS_AES_128_CCM_SHA256 (TLS 1.3)

次へをクリックし、画面の指示に従って変更を完了します。