クライアントが Edge Security Acceleration (ESA) エッジノードに HTTPS リクエストを送信すると、ノードは応答し、Transport Layer Security (TLS) ハンドシェイクを開始します。クライアントとノードは、互換性のある暗号スイートとプロトコルバージョンをネゴシエートして、安全な双方向データ伝送を確保します。必要に応じて、TLS 暗号スイートとプロトコルバージョンを調整できます。
TLS バージョン
TLS とその前身である Secure Sockets Layer (SSL) は、コンピューターネットワーク上で安全な通信を提供するために設計された暗号化プロトコルです。このプロトコルは、エンドポイント間で交換されるデータを暗号化して、通信の信頼性と機密性を確保します。
TLS プロトコルのバージョンには、1.0、1.1、1.2、および 1.3 があります。TLS 1.3 は、最高のセキュリティとパフォーマンスを提供します。
TLS 暗号スイートグループ
TLS 暗号スイートは、TLS プロトコルで使用される暗号化アルゴリズムの組み合わせです。認証、暗号化、メッセージ認証コードの 3 つの部分で構成されます。TLS ハンドシェイク中に、クライアントとサーバーは互換性のある暗号スイートに合意します。これにより、クライアントとサーバー間で送信されるデータが、選択されたスイートを使用して安全に暗号化されることが保証されます。暗号スイートが異なれば、提供されるセキュリティのレベルも異なります。
TLS 暗号スイートグループは、暗号スイートの組み合わせです。
TLS 暗号スイートグループと TLS バージョンの選択方法
シナリオ | 暗号スイートグループ | サポートされている TLS バージョン | 機能 |
高い互換性が必要で、セキュリティ要件を緩和できるほとんどの Web サイトまたはアプリケーション向け。 | すべての暗号スイート (デフォルト) | TLS 1.0、TLS 1.1、TLS 1.2、および TLS 1.3 (オプション) | 最大数の暗号スイートとプロトコルをサポートします。古いブラウザやさまざまなクライアントデバイスとの優れた互換性を提供します。ただし、含まれている暗号スイートの一部は安全性が低くなります。 |
高いセキュリティを必要とする Web サイトまたはアプリケーション向け。 | 強力な暗号スイート | TLS 1.2 および TLS 1.3 | サポートされているすべての暗号スイートとプロトコルは安全です。このオプションは Web サイトのセキュリティを向上させますが、すべての暗号スイート (デフォルト) オプションよりも互換性が低くなります。 |
カスタム暗号スイートを指定する場合。 | カスタム暗号スイート | TLS 1.2 および TLS 1.3 | カスタム暗号化アルゴリズムを選択できます。セキュリティと互換性は、選択したアルゴリズムによって異なります。 |
異なる暗号スイートグループでサポートされているアルゴリズムの詳細については、「暗号スイートグループでサポートされているアルゴリズム」をご参照ください。
TLS 暗号スイートとバージョンの設定
ESA コンソールで、サイト管理 をクリックします。サイト 列で、ターゲットサイトをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
TLS 暗号スイートとバージョン エリアで、設定 をクリックします。必要に応じて 暗号スイートグループと TLS バージョンを選択します。
説明強力暗号スイート および カスタム暗号スイート オプションは、TLS 1.2 および TLS 1.3 のみをサポートします。これらのプロトコルはデフォルトで選択されており、変更することはできません。
有効にする TLS バージョンは連続している必要があります。有効なバージョンにギャップがある場合、連続するバージョンのうち最も高いブロックのみがアクティブになります。
たとえば、TLS 1.0、TLS 1.1、および TLS 1.3 を有効にし、TLS 1.2 を無効にした場合、TLS 1.3 のみがアクティブになります。
たとえば、TLS 1.0、TLS 1.2、および TLS 1.3 を有効にし、TLS 1.1 を無効にした場合、TLS 1.2 と TLS 1.3 のみがアクティブになります。
OK をクリックします。