このトピックでは、SSL/TLS の基本概念、特徴、利用シーンに関するよくある質問に回答します。
証明書のリスク警告への対処方法
問題
Edge Security Accelerator (ESA) コンソールでドメインに HTTPS 証明書を設定した後も、Web サイトを閲覧すると証明書のリスク警告が表示されることがあります。
考えられる原因と対処方法
証明書の有効期限切れ:証明書を更新し、ESA コンソールで更新された証明書を再設定してください。SSL Certificates Service から証明書を購入した場合は、「SSL 証明書の更新と有効期限切れ」をご参照のうえ更新手順に従い、その後「証明書の更新」を行ってください。
システム時刻の不正確さ:ご利用のコンピューターの時刻が正しくない場合、証明書が期限切れであるかのように表示されたり、検証に失敗したりして、リスク警告がトリガーされます。ご利用のコンピューターのシステム時刻を修正し、再度 Web サイトにアクセスしてください。
自己署名証明書の使用:自己署名証明書とは、信頼された認証局 (CA) ではなく、ご自身で生成した証明書です。主要な Web ブラウザーは自己署名証明書を信頼しないため、Web サイトがなりすましや中間者攻撃に対して脆弱となり、リスク警告がトリガーされます。信頼された CA によって発行された証明書への置き換えを推奨します。SSL Certificates Service から証明書を購入できます。
Web ページに HTTP リソースが含まれている(混合コンテンツ):すべての HTTP リソースリンクを HTTPS に変更してください。
TLS バージョンが古い:SSL/TLS プロトコルスイートには SSLv2、SSLv3、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3 が含まれます。現在、安全と見なされているのは TLS 1.2 および TLS 1.3 のみです。ESA コンソールでレガシ TLS バージョンを無効化し、TLS 1.2 または TLS 1.3 を有効にしてください。詳細については、「TLS バージョンと暗号スイートの設定」をご参照ください。
弱い暗号スイートを使用している:128 ビット AES-GCM 暗号化アルゴリズムを含む暗号スイートの使用を推奨します。
期限切れの ESA 証明書への対処方法
ESA は、無料証明書の自動更新をサポートしています。このプロセスは、現在デプロイされている証明書に影響を与えません。
自動更新スケジュール:ESA は、無料証明書の有効期限が切れる 15 日前に自動的に更新を試行します。このプロセスでは新規申請は不要であり、証明書クォータにもカウントされません。
更新失敗のリスク:無料証明書は Let's Encrypt によって発行されるため、ドメイン名解決エラーや検証失敗などの問題により、更新が失敗する可能性があります。
自動更新が失敗した場合、ESA から SMS およびメールで通知が送信されます。サービスの中断を防ぐため、手動で新しい証明書をアップロードする必要があります。
HTTPS とは
Hypertext Transfer Protocol Secure (HTTPS) は、HTTP プロトコル上で送信されるデータを暗号化するセキュアなプロトコルです。HTTP プロトコルはプレーンテキストでコンテンツを送信し、暗号化機能を提供しません。HTTPS は HTTP のセキュア版であり、Web トラフィックを SSL または TLS プロトコル内にカプセル化します。これにより、認証と暗号化通信を実現し、金融トランザクションなど World Wide Web 上での機密性の高い通信に広く利用されています。ESA で HTTPS を設定するには、「SSL/TLS クイックスタート」をご参照のうえ、すべての ESA ノードに証明書をデプロイし、ネットワーク全体でのデータ暗号化を有効にしてください。