Anti-DDoS Proxyを使用すると、カスタムトランスポート層セキュリティ (TLS) ポリシーを設定できます。 WebサイトをAnti-DDoSプロキシに追加した後、TLSプロトコルバージョンと暗号スイートを選択し、ビジネス要件に基づいてWebサイトのSM設定を構成できます。 このトピックでは、カスタムTLSセキュリティポリシーを設定する方法について説明します。
デフォルトのTLSプロトコルバージョン
Anti-DDoS Proxy (中国本土) は、国際的に認められたアルゴリズムを使用する証明書とSM証明書の両方をサポートします。 Anti-DDoS Proxy (Outside Chinese Mainland) は、国際的に認められたアルゴリズムを使用する証明書のみをサポートします。 Anti-DDoSプロキシによって保護されているWebサイトの証明書をアップロードする場合、証明書は異なるTLSプロトコルバージョンをサポートします。 以下のリストで詳細を説明します。
Anti-DDoSプロキシ (中国本土): デフォルトでは、国際的に認められているアルゴリズムを使用する証明書はTLS 1.0、TLS 1.1、およびTLS 1.2をサポートし、SM証明書はNational Transport Layer Security (NTLS) 1.1をサポートします。
Anti-DDoSプロキシ (中国本土以外): デフォルトでは、国際的に認められているアルゴリズムを使用する証明書はTLS 1.1とTLS 1.2をサポートしています。
サポートされているTLSプロトコルバージョン
デフォルト設定がビジネス要件を満たさない場合は、異なるTLSプロトコルバージョンと暗号スイートを選択できます。 次の表に、Anti-DDoS Proxyでサポートされている証明書に対して選択できるTLSプロトコルのバージョンを示します。 さまざまなTLSプロトコルバージョンに対応する暗号スイートの詳細については、「手順」をご参照ください。
Anti-DDoSプロキシ (中国本土)
関数プラン | 国際的に認められたアルゴリズムを使用する証明書 | SM証明書 |
関数プラン | 国際的に認められたアルゴリズムを使用する証明書 | SM証明書 |
標準関数プラン |
TLS 1.3またはカスタム暗号スイートを使用する場合は、インスタンスを拡張関数プランにアップグレードします。 詳細については、「インスタンスのアップグレード」をご参照ください。 | TLSプロトコルのバージョンと暗号スイートは変更できません。 |
拡張関数プラン |
TLS 1.3を使用する場合は、[TLS 1.3サポートの有効化] を選択する必要があります。 詳細については、「手順」をご参照ください。 |
Anti-DDoSプロキシ (中国本土以外)
関数プラン | 国際的に認められたアルゴリズムを使用する証明書 |
関数プラン | 国際的に認められたアルゴリズムを使用する証明書 |
標準関数プラン | カスタムTLSセキュリティポリシーは設定できません。 カスタムTLSセキュリティポリシーを設定する前に、インスタンスを拡張機能プランにアップグレードする必要があります。 詳細については、「インスタンスのアップグレード」をご参照ください。 |
拡張関数プラン |
TLS 1.3を使用する場合は、[TLS 1.3サポートの有効化] を選択する必要があります。 詳細については、「手順」をご参照ください。 |
シナリオ
たとえば、拡張機能プランのAnti-DDoS Proxy (中国本土) インスタンスを購入し、サービスがPayment Card Industry Data Security Standard (PCI DSS) 3.2に準拠する必要があるため、いずれかのサービスのTLS 1.0を無効にする場合は、TLS Versions For SSL Certificateパラメーターの値をTLS 1.1以降に変更できます。 この設定は、良好な互換性と中程度のセキュリティを提供します。 別のサービスにアクセスするデバイスがTLS 1.3を使用している場合は、[TLS 1.3サポートの有効化] を選択します。
前提条件
WebサイトがAnti-DDoSプロキシに追加され、プロトコルタイプにHTTPSが選択されます。 詳細については、「1つ以上のWebサイトの追加」をご参照ください。
SSL証明書は、ビジネス要件に基づいてWebサイトにアップロードされます。 詳細については、「HTTPS証明書のアップロード」をご参照ください。
手順
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
Anti-DDoS Proxy (中国本土) インスタンスを使用する場合は、次の手順を実行してTLSセキュリティポリシーを設定します。
設定するドメイン名を見つけて、[証明書ステータス] 列の [TLSセキュリティ設定] をクリックします。
[TLSセキュリティ設定] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
パラメーター
説明
SSL証明書のTLSバージョン
国際的に認められたアルゴリズムを使用するSSL証明書のTLSバージョンを選択します。 有効な値:
標準関数プランの有効な値:
TLS 1.0以降をします。 この設定は、最高の互換性を提供しますが、低いセキュリティを提供します。TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされます。 デフォルト値です。
TLS 1.2以降をします。 この設定は、優れた互換性と高いセキュリティレベルを提供します。TLS 1.2がサポートされています。
拡張関数プランの有効な値:
TLS 1.0以降をします。 この設定は、最高の互換性を提供しますが、低いセキュリティを提供します。TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされます。 デフォルト値です。
TLS 1.1以降をします。 この設定は、優れた互換性と中程度のセキュリティを提供します。TLS 1.1とTLS 1.2がサポートされます。
TLS 1.2以降をします。 この設定は、優れた互換性と高いセキュリティレベルを提供します。TLS 1.2がサポートされています。
ビジネス要件に基づいて、[TLS 1.3サポートの有効化] を選択できます。
Cipher Suites for SSL証明書
国際的に認められたアルゴリズムを使用するSSL証明書でサポートされている暗号スイートを選択します。 拡張関数プランまたは標準関数プランでサポートされている暗号スイートの詳細を表示するには、Anti-DDoSプロキシコンソールに移動します。 拡張関数プランまたは標準関数プランでは、次のオプションを使用できます。
オプションに含まれている暗号スイートを表示するには、オプションのアイコンの上に
ポインタを移動します。 SM証明書ベースの検証の有効化
このパラメーターは、SM証明書をアップロードした後にのみ設定できます。 デフォルトでは、アップロードするSM証明書のスイッチはオフになっています。
Anti-DDoS Proxy (中国本土) がSM証明書を使用するクライアントからの要求を処理できるかどうかを指定します。
スイッチをオンにすると、Anti-DDoS Proxy (中国本土) は、SM証明書を使用360セキュアブラウザとHaitaiブラウザからの要求を処理できます。
SM証明書ベースの検証を有効にすると、Anti-DDoS Proxy (中国本土) はSM証明書を使用するクライアントからの要求を処理できます。
SM証明書ベースの検証の有効化をオフにすると、Anti-DDoS Proxy (中国本土) はSM証明書を使用するクライアントからのリクエストを処理できません。
SM証明書ベースの検証の有効化をオフにする前に、SM証明書ベースのクライアントからのアクセスのみの許可をオフにする必要があります。
SM証明書ベースのクライアントからのアクセスのみを許可
Anti-DDoS Proxy (中国本土) がSM証明書を使用するクライアントからの要求のみを処理するかどうかを指定します。 デフォルトでは、アップロードするSM証明書のスイッチはオフになっています。
SM証明書ベースのクライアントからアクセスのみを許可すると、Anti-DDoS Proxy (中国本土) はSM証明書を使用するクライアントからの要求のみを処理します。
SM証明書ベースのクライアントからのアクセスのみを許可をオフにすると、Anti-DDoS Proxy (中国本土) は、2つのタイプの証明書を使用するクライアントからの要求を処理します。 2つのタイプには、SM証明書と国際的に認められたアルゴリズムを使用する証明書があります。
SM証明書ベースのクライアントからのアクセスのみを許可するをオンにする前に、SM証明書ベースの検証を有効にするをオンにする必要があります。
SMサイファースイートfor HTTPSサポート
SM証明書をアップロードすると、次の暗号スイートが自動的に有効になります。 SM証明書に暗号スイートを選択することはできません。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
Anti-DDoS Proxy (Outside Chinese Mainland) インスタンスを使用する場合は、次の手順を実行してTLSセキュリティポリシーを設定します。
カスタムTLSセキュリティポリシーは、拡張機能プランのAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスに対してのみ設定できます。
設定するドメイン名を見つけて、[証明書ステータス] 列の [TLSセキュリティ設定] をクリックします。
[TLSセキュリティ設定] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
パラメーター
説明
SSL証明書のTLSバージョン
国際的に認められたアルゴリズムを使用するSSL証明書のTLSバージョンを選択します。 有効な値:
TLS 1.0以降をします。 この設定は、最高の互換性を提供しますが、低いセキュリティを提供します。TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされます。 デフォルト値です。
TLS 1.1以降をします。 この設定は、優れた互換性と中程度のセキュリティを提供します。TLS 1.1とTLS 1.2がサポートされます。
TLS 1.2以降をします。 この設定は、優れた互換性と高いセキュリティレベルを提供します。TLS 1.2がサポートされています。
ビジネス要件に基づいて、[TLS 1.3サポートの有効化] を選択できます。
Cipher Suites for SSL証明書
国際的に認められたアルゴリズムを使用するSSL証明書でサポートされている暗号スイートを選択します。 有効な値:
オプションに含まれている暗号スイートを表示するには、オプションのアイコンの上に
ポインタを移動します。
結果
WebサイトにカスタムTLSセキュリティポリシーを設定すると、Anti-DDoS ProxyはTLSセキュリティポリシーに基づいてWebサイト宛てのリクエストを転送します。 クライアントがTLSポリシーで指定されていないTLSプロトコルバージョンまたは暗号スイートを使用している場合、クライアントから送信された要求は破棄されます。
