すべてのプロダクト
Search

このプロダクト

    Certificate Management Service:証明書のサポートされているTLSバージョンを設定するにはどうすればよいですか。

    ドキュメントセンター

    Certificate Management Service:証明書のサポートされているTLSバージョンを設定するにはどうすればよいですか。

    最終更新日:Feb 13, 2025

    サポートされているTLSバージョンは、TLS 1.1、TLS 1.2、およびTLS 1.3です。 TLS 1.0は禁止されています。 TLSの新しいバージョンは、以前のバージョンよりもHTTPSを介した通信のセキュリティを向上させます。 ビジネス要件に基づいて、webサーバーまたはAlibaba Cloudサービスにインストールする証明書のサポートされているTLSバージョンを設定できます。

    Alibaba Cloudサービスにインストールされた証明書

    証明書が次のAlibaba Cloudサービスにインストールされている場合は、次のタブにある指示に従って、サポートされているTLSバージョンを設定します。 各タブには、手順の概要のみが表示されます。 より詳細な説明については、提供される参考文献を参照されたい。

    Anti-DDoSプロキシ

    手順

    1. Anti-DDoSプロキシコンソールにログインします。

    2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

      • Anti-DDoS Proxy (Chinese Mainland): Chinese Mainlandリージョンを選択します。

      • Anti-DDoS Proxy (Outside Chinese Mainland): Outside Chinese Mainlandリージョンを選択します。

    3. 左側のナビゲーションウィンドウで、接続管理 > ドメイン接続 を選択します。

    4. 管理するドメイン名を見つけて、[証明書ステータス] 列の [TLSセキュリティ設定] をクリックします。

    5. [TLSセキュリティ設定] ダイアログボックスで、[SSL証明書のTLSバージョン] などのパラメーターを設定し、[OK] をクリックします。 その他のパラメーターの詳細については、「カスタムTLSセキュリティポリシーの設定」をご参照ください。

      リージョン

      国際的に認められたアルゴリズムを使用するSSL証明書のサポートされているTLSバージョン

      Anti-DDoS Proxy (中国本土)

      • 標準関数プランの有効な値:

        • TLS 1.0以降をします。 この設定は、最高の互換性を提供しますが、低いセキュリティを提供します。TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされます。 デフォルト値です。

        • TLS 1.2以降をします。 この設定は、優れた互換性と高いセキュリティレベルを提供します。TLS 1.2がサポートされています。

      • 拡張関数プランの有効な値:

        • TLS 1.0以降をします。 この設定は、最高の互換性を提供しますが、低いセキュリティを提供します。TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされます。 デフォルト値です。

        • TLS 1.1以降をします。 この設定は、優れた互換性と中程度のセキュリティを提供します。TLS 1.1とTLS 1.2がサポートされます。

        • TLS 1.2以降をします。 この設定は、優れた互換性と高いセキュリティレベルを提供します。TLS 1.2がサポートされています。

        ビジネス要件に基づいて、[TLS 1.3サポートの有効化] を選択できます。

      Anti-DDoS Proxy (中国本土外)

      • TLS 1.0以降をします。 この設定は、最高の互換性を提供しますが、低いセキュリティを提供します。TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされます。 デフォルト値です。

      • TLS 1.1以降をします。 この設定は、優れた互換性と中程度のセキュリティを提供します。TLS 1.1とTLS 1.2がサポートされます。

      • TLS 1.2以降をします。 この設定は、優れた互換性と高いセキュリティレベルを提供します。TLS 1.2がサポートされています。

      ビジネス要件に基づいて、[TLS 1.3サポートの有効化] を選択できます。

    詳細については、「カスタムTLSセキュリティポリシーの設定」をご参照ください。  

    WAF

    手順

    1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

    2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

    3. CNAME アクセスタブで、ドメイン名リストの上にあるデフォルトのSSL/TLS設定をクリックします。。

      image

    4. [CNAMEレコード] ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。

      パラメーター

      説明

      HTTPSUploadタイプ

      SSL証明書のアップロード方法を指定します。 詳細については、このトピックの「HTTPSUpload Type」パラメーターをご参照ください。

      TLSバージョン

      HTTPS通信でサポートされているTLSプロトコルのバージョンを指定します。 有効な値:

      • TLS 1.0以降 (最高の互換性と低セキュリティ) (デフォルト)

      • TLS 1.1以降 (高い互換性と高いセキュリティ)

      • TLS 1.2以降 (高い互換性と最高のセキュリティ)

      TLS 1.3を有効にする場合は、[TLS 1.3のサポート] を選択します。

      HTTPSCipherスイート

      HTTPS通信でサポートされている暗号スイートを指定します。 有効な値:

      • すべてのサイファースイート (高い互換性と低いセキュリティ) (デフォルト)

      • Custom Cipher Suite (プロトコルバージョンに基づいて選択します。 注意してください。)

        カスタム暗号スイートの詳細については、「サポートされている暗号スイートの表示」をご参照ください。

    詳細については、「WAFへのドメイン名の追加」をご参照ください。

    SLB

    手順

    高性能のClassic Load Balancer (CLB) インスタンスのHTTPSリスナーを作成または設定するときに、TLSセキュリティポリシーを選択できます。 TLSセキュリティポリシーを選択するには、[SSL証明書の設定] 手順に進み、[詳細設定] の右側にある [変更] をクリックします。 次の例では、CLBインスタンスのサポートされているTLSバージョンを設定する方法について説明します。

    説明

    Server Load Balancer (SLB) ファミリーには、Application load Balancer (ALB) 、Network Load Balancer (NLB) 、およびCLBの負荷分散サービスが含まれます。 ビジネス要件に基づいてサービスを選択できます。

    1. にログインします。CLBコンソール.

    2. 上部のナビゲーションバーで、CLBインスタンスがデプロイされているリージョンを選択します。

    3. [インスタンス] ページで、管理するCLBインスタンスを見つけます。

      • [操作] 列の [リスナーの設定] をクリックします。

      • 管理するCLBインスタンスのIDをクリックします。 インスタンス詳細ページの [リスナー] タブで、[リスナーの追加] をクリックします。

    4. [プロトコルとリスナー] ステップで、[リスナープロトコルの選択] パラメーターを [HTTPS] に設定します。 [次へ] をクリックします。 その他のパラメーターの詳細については、「HTTPSリスナーの追加」をご参照ください。

    5. [証明書管理サービス] ステップで、アップロードしたサーバー証明書を選択するか、[サーバー証明書の作成] をクリックしてサーバー証明書をアップロードします。 証明書を購入することもできます。 詳細については、「証明書の作成」をご参照ください。

    6. クリック変更次の詳細設定を設定し、TLSセキュリティポリシーパラメーターを使用します。

      説明

      • TLSセキュリティポリシーは、高性能CLBインスタンスでのみサポートされます。

      • TLSセキュリティポリシーには、HTTPSで使用できるTLSプロトコルバージョンと暗号スイートが含まれています。 詳細については、「TLSセキュリティポリシー」をご参照ください。

    7. 他の手順でパラメーターを設定したら、[送信] をクリックします。 詳細については、「CLBインスタンスのHTTPSリスナーの追加」をご参照ください。

    詳細については、「HTTPSリスナーの追加」をご参照ください。

    CDN

    手順

    次の操作を実行する前に、SSL証明書が設定されていることを確認してください。 詳細については、「SSL証明書の設定」をご参照ください。

    説明

    デフォルトでは、TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3が有効になっています。

    1. ログインしてAlibaba Cloud CDN

      コンソール

    2. 左側のナビゲーションウィンドウで、ドメイン名.

    3. [ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。

    4. ドメイン名の左側のナビゲーションツリーで、HTTPS 設定.

    5. では、TLS 暗号スイートとバージョンの設定セクションで、ビジネス要件に基づいて暗号スイートとバージョンを設定します。

      TLS版本控制

      次の暗号スイートがサポートされています。 ビジネス要件に基づいて暗号スイートを選択できます。

      • すべての暗号スイートグループ (デフォルト): このタイプの暗号スイートは、低いセキュリティと高い互換性を提供します。 サポートされている暗号化アルゴリズムの詳細については、「デフォルトのTLS暗号化アルゴリズム」をご参照ください。

      • 拡張暗号スイート: このタイプの暗号スイートは、高いセキュリティと低い互換性を提供します。 次の暗号化アルゴリズムがサポートされています。

        • TLS_AES_256_GCM_SHA384

        • TLS_AES_128_GCM_SHA256

        • TLS_CHACHA20_POLY1305_SHA256

        • ECDHE-ECDSA-CHACHA20-POLY1305

        • ECDHE-RSA-CHACHA20-POLY1305

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES128-CCM8

        • ECDHE-ECDSA-AES128-CCM

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES256-CCM8

        • ECDHE-ECDSA-AES256-CCM

        • ECDHE-ECDSA-ARIA256-GCM-SHA384

        • ECDHE-ARIA256-GCM-SHA384

        • ECDHE-ECDSA-ARIA128-GCM-SHA256

        • ECDHE-ARIA128-GCM-SHA256

      • カスタム暗号スイート: ビジネス要件に基づいて暗号スイートを選択できます。

      TLSバージョンの詳細については、「背景情報」をご参照ください。

    詳細については、「TLSバージョンと暗号スイートの設定」をご参照ください。

    DCDN

    手順

    次の操作を実行する前に、SSL証明書が設定されていることを確認してください。 詳細については、「SSL証明書の設定」をご参照ください。

    説明

    デフォルトでは、TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3が有効になっています。

    1. ログインしてDCDNコンソール

    2. 左側のナビゲーションウィンドウで、ドメイン名.

    3. On theドメイン名ページで、管理するドメイン名を見つけて、設定.

    4. ドメイン名の左側のナビゲーションツリーで、HTTPS 設定.

    5. では、TLS 暗号スイートとバージョンの設定セクションで、ビジネス要件に基づいて暗号スイートとバージョンを設定します。

      TLS版本控制

      次の暗号スイートがサポートされています。 ビジネス要件に基づいて暗号スイートを選択します。

      • すべての暗号スイートグループ (デフォルト): このタイプの暗号スイートは、低いセキュリティと高い互換性を提供します。 サポートされている暗号化アルゴリズムの詳細については、「デフォルトのTLS暗号化アルゴリズム」をご参照ください。

      • 拡張暗号スイート: このタイプの暗号スイートは、高いセキュリティと低い互換性を提供します。 次の暗号化アルゴリズムがサポートされています。

        • TLS_AES_256_GCM_SHA384

        • TLS_AES_128_GCM_SHA256

        • TLS_CHACHA20_POLY1305_SHA256

        • ECDHE-ECDSA-CHACHA20-POLY1305

        • ECDHE-RSA-CHACHA20-POLY1305

        • ECDHE-ECDSA-AES128-GCM-SHA256

        • ECDHE-RSA-AES128-GCM-SHA256

        • ECDHE-ECDSA-AES128-CCM8

        • ECDHE-ECDSA-AES128-CCM

        • ECDHE-ECDSA-AES256-GCM-SHA384

        • ECDHE-RSA-AES256-GCM-SHA384

        • ECDHE-ECDSA-AES256-CCM8

        • ECDHE-ECDSA-AES256-CCM

        • ECDHE-ECDSA-ARIA256-GCM-SHA384

        • ECDHE-ARIA256-GCM-SHA384

        • ECDHE-ECDSA-ARIA128-GCM-SHA256

        • ECDHE-ARIA128-GCM-SHA256

      • カスタム暗号スイート: ビジネス要件に基づいて暗号スイートを選択できます。

    詳細については、「TLSバージョンと暗号スイートの設定」をご参照ください。

    説明

    証明書にサポートされているTLSバージョンを設定する際にご質問がある場合は、Alibaba Cloudサービスのアカウントマネージャーにお問い合わせください。

    webサーバーにインストールされた証明書

    ビジネス要件に基づいて、webサーバーの証明書構成ファイルのssl_protocolsパラメーターを変更します。 たとえば、環境がTLS 1.1TLS 1.2のみをサポートしている場合、ssl_protocolパラメーターをTLSv1.1 TLSv1.2に設定できます。 環境でTLS 1.3をサポートする場合は、ssl_protocolTLSv1.1 TLSv1.2 TLSv1.3に設定できます。

    次の例では、NGINXサーバーにインストールされている証明書のサポートされているTLSバージョンを変更する方法について説明します。

    ステップ1: NGINXの設定ファイルを開く

    次のコマンドを実行して、NGINXの設定ファイルを開きます。 ほとんどの場合、設定ファイルは/etc/nginx/nginx.confまたは. confファイル内の/etc/nginx/conf.d /ディレクトリに移動します。 

    sudo nano /etc/nginx/nginx.conf

    NGINX用に別の設定ファイルがある場合は、次のコマンドを実行して設定ファイルを開きます。

    sudo nano /etc/nginx/sites-available/default

    ステップ2: サーバーブロックの設定を変更する

    HTTPS関連のサーバーブロックを見つけ、ssl_protocolsパラメーターを追加または変更して、証明書でサポートするTLSバージョンを指定します。 次のコードでは、TLS 1.2とTLS 1.3が指定されています。 この手順を実行する前に、クライアントが指定するTLSバージョンをサポートしていることを確認してください。 そうしないと、接続障害が発生する可能性があります。 

       server {
       listen 443 ssl;
       server_name yourdomain.com;

       # The paths to the certificate and private key files.
       ssl_certificate /path/to/your_certificate.crt;
       ssl_certificate_key /path/to/your_private.key;

       # Specify the TLS versions that you want the certificate to support.
       ssl_protocols TLSv1.2 TLSv1.3;

       # Optional. Specify a cipher suite that provides higher security.
       ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
       
       location / {
           root /var/www/html;
           index index.html index.htm;
       }
   }

    手順3: 設定を確認してNGINXサービスを再起動する

    変更を保存した後、次のいずれかのコマンドを実行して、NGINX設定が有効かどうかを確認します。

    sudo systemctl reload nginx

    または

    sudo service nginx restart

    この場合、NGINXサーバーのサポートされているTLSバージョンが変更されます。

    ステップ4: 設定が有効かどうかを確認する

    1. 次のコマンドを実行して、サーバーのTLS設定を表示します。 

       # Replace "your_ip" with your IP address. 
 sudo openssl s_client -connect your_ip:443

    2. 出力でサポートされているTLSバージョンと証明書情報を表示して、TLS設定が有効かどうかを確認します。 サポートされているTLSバージョンが出力に表示されている場合、設定は有効です。

      image

    説明

    新しいセキュリティ標準が時間とともに出現し、古い標準の使用が推奨されなくなる可能性があります。 したがって、Webサイトのセキュリティを維持するには、暗号化標準の定期的なレビューと更新が不可欠です。