Alibaba Cloud Dynamic Route for CDN (DCDN) は、Transport Layer Security (TLS) バージョン管理をサポートしています。 ビジネス要件に基づいて、ドメイン名のTLSバージョンを有効にできます。 TLSの初期バージョンは以前のバージョンのブラウザをサポートしていますが、セキュリティは比較的低くなっています。 TLSの最新バージョンはセキュリティを強化しますが、以前のバージョンのブラウザと互換性がない場合があります。 このトピックでは、TLSバージョン管理の概念、使用シナリオ、および設定方法について説明します。
背景情報
TLSは、2つのアプリケーション間で送信されるデータのセキュリティと整合性を確保するように設計されています。 TLSの典型的なユースケースはHTTPSです。 HTTPS は、HTTP over TLS とも呼ばれ、セキュアな HTTP です。 HTTPSは、最上位のアプリケーション層 (HTTP) の下とトランスポート層 (TCP) の上で実行され、データの暗号化および復号化サービスを提供します。
Version | 説明 | サポートされている主流ブラウザ |
TLS 1.0 | TLS 1.0は、1999のRFC 2246でSSL 3.0の更新として定義されました。 TLS 1.0は、BEASTやPOODLE攻撃などのさまざまな攻撃に対して脆弱です。 TLS 1.0は、暗号化パフォーマンスが弱いため、ネットワーク保護には推奨されなくなりました。 TLS 1.0は、Payment Card Industry Data Security Standard (PCI DSS) に準拠していません。 |
|
TLS 1.1 | TLS 1.1は、TLS 1.0の更新として2006のRFC 4346で定義されました。 TLS 1.1は、TLS 1.0のいくつかの脆弱性を修正しました。 |
|
TLS 1.2 | TLS 1.2は2008のRFC 5246で定義されており、広く使用されているTLSバージョンです。 |
|
TLS 1.3 | TLS 1.3は、2018のRFC 8446で最新のTLSバージョンとして定義されています。 TLS 1.3は、ゼロラウンドトリップ時間再開 (0-RTT) モードをサポートし、より高速な接続を確立できます。 TLS 1.3は、セキュリティを強化するための完全な前方秘密の鍵交換アルゴリズムのみをサポートします。 |
|
手順
ドメイン名にSSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。
説明 デフォルトでは、TLS 1.0、TLS 1.1、およびTLS 1.2が有効になっています。
- DCDNコンソールにログインします。
- 左側のナビゲーションペインで ドメイン名 をクリックします。
On theドメイン名ページで、管理するドメイン名を見つけて、設定.
- ドメイン名の左側のナビゲーションウィンドウで、[HTTPS 設定] をクリックします。
- [TLS 暗号スイートとバージョンの設定] セクションで、ビジネス要件に基づいて特定のTLSバージョンを有効または無効にします。
推奨バージョン
シナリオ | 推奨バージョン |
以前のバージョンのブラウザとの互換性が必要であり、セキュリティは優先事項ではありません | TLS 1.0、TLS 1.1、およびTLS 1.2 |
セキュリティは優先事項であり、一部のブラウザとの非互換性は許容されます | TLS 1.2 |
アーリーアダプター | TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3 |