Apple ATSをサポートする証明書を選択して構成するにはどうすればよいですか? - Certificate Management Service

2017年1月1日から、AppleはすべてのiOSアプリケーションがApp Transport Security (ATS) を使用することを要求します。これにより、iOSアプリケーションはHTTPSを介して通信でき、セキュリティが向上します。

説明

Alibaba Cloud CDNとServer Load Balancer (SLB) は、ATSの要件を満たすHTTPS設定を使用します。

証明書の設定要件

次の表に、ATSをサポートするために満たす必要がある証明書の要件を示します。

項目	説明
CA (認証局)	GlobalSignから発行された組織検証済み (OV) または拡張検証 (EV) 証明書の使用を推奨します。
ハッシュアルゴリズムとキーの長さ	ハッシュアルゴリズム: EntrustおよびGlobalSign証明書は、より高いセキュリティを提供するSHA-256アルゴリズムを使用します。これはATSの要件を満たしています。キーの長さ: CSR生成に自動を選択した場合、システムによって生成されるキーは2048ビットRSA暗号化を使用します。これはATSの要件を満たしています。 CSR生成でマニュアルを選択した場合、2048ビット以上のRSA暗号化を使用する必要があります。
伝送プロトコル	ATSをサポートするには、webサーバーでTLS 1.2を有効にする必要があるため、webサーバーでTransport Layer Security (TLS) 1.2が構成されていることを確認してください。 OpenSSLがインストールされているwebサーバーを使用する場合は、OpenSSL 1.0以降のバージョンを使用する必要があります。 OpenSSL 1.0.1以降のバージョンを使用することを推奨します。 Javaランタイム環境 (JRE) がインストールされているwebサーバーを使用する場合は、JDK 1.7以降のバージョンを使用する必要があります。 IISサーバーとWeblogic 10.3.6サーバー以外の他のweb 7.5を使用し、サーバーのバージョンが要件を満たしている場合、TLS 1.2はデフォルトで有効になっています。 webサーバーでTLS 1.2を有効にする前に、webサーバーの設定が次の要件を満たしていることを確認してください。 ApacheまたはNGINX webサーバーを使用する場合は、OpenSSL 1.0以降のバージョンを使用する必要があります。 Tomcat 7以降のバージョンを実行するwebサーバーを使用する場合は、JDK 7.0以降のバージョンを使用する必要があります。既定では、TLS 1.2はIIS 7.5 webサーバーでは無効になっています。 TLS 1.2を有効にする場合は、webサーバーのレジストリを変更する必要があります。 ats.regレジストリスクリプトをダウンロードしてインポートした後、TLS 1.2を検証するためにwebサーバーから再起動またはログオフする必要があります。 IBM Domino Server 9.0.1 FP3 webサーバーはTLS 1.2をサポートしています。ただし、ATSをサポートするには、IBM Domino 9.0.1 Server FP5 webサーバーを使用することを推奨します。詳細については、「IBM HTTP SSLサーバーの質問と回答」をご参照ください。 IBM HTTP Server 8.0またはそれ以降のバージョンを実行するWebサーバーは、TLS 1.2をサポートします。 ATSをサポートするには、IBM HTTP Server 8.5またはそれ以降のバージョンを実行するwebサーバーを使用することを推奨します。 webサーバーがWeblogic 10.3.6以降のバージョンを実行している場合は、Java 7以降のバージョンを使用する必要があります。説明 Weblogic 10.3.6では、複数のSHA-256互換性の問題が検出されます。 Weblogic 12以降のバージョンを実行するwebサーバーを使用することを推奨します。 Weblogic 10.3.6を実行するwebサーバーを引き続き使用する場合は、HTTPSに基づくフロントエンドApacheまたはNGINXプロキシを構成するか、フロントエンド負荷分散を構成する必要があります。 Webspere V7.0.0.23以降のバージョン、Webspere V8.0.0.3以降のバージョン、およびWebspere V8.5.0.0以降のバージョンはTLS 1.2をサポートしています。 TLS 1.2をサポートするようにWebspere webサーバーを構成する方法の詳細については、「websphereアプリケーションサーバーSSLプロトコルをTLS 1.2に構成する」をご参照ください。
署名アルゴリズム	署名アルゴリズムは、次のいずれかのアルゴリズムである必要があります。 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

設定例

次の例では、さまざまな種類のwebサーバーのATSおよび暗号化スイートの要件を満たす属性を構成する方法について説明します。

重要

以下の例では、ATSの要件を満たす属性のみが含まれています。実際には、サーバーの状態に基づいて属性と暗号化スイートを構成する必要があります。

NGINX設定ファイルの一部

NGINX設定ファイルのssl_ciphers属性とssl_protocols属性は、ATSの要件を満たしています。


server {
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
}

Tomcat設定ファイルの一部

Tomcat構成ファイルのSSLProtocolおよびSSLCipherSuite属性は、ATSの要件を満たしています。


<コネクタポート="443" プロトコル="HTTP/1.1" SSLEnabled="true"
scheme="https" secure="true"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SSLProtocol="TLSv1.1 + TLSv1.2 + TLSv1.3"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4" />

IIS webサーバーを構成する方法の詳細については、「IIS 7.5でTLS 1.2を有効にして256ビット暗号強度を得る」をご参照ください。可視化されたプラグインを使用して、IIS webサーバーを構成することもできます。詳細については、「IIS暗号」をご参照ください。

ATSツール

macOSのシステムツールを使用してnscurl -- ats-diagnostics -- verbose URLコマンドを実行し、証明書がATSの要件を満たしているかどうかを確認できます。