TLSセキュリティポリシーがCLBをサポートするもの - Server Load Balancer

ほとんどの場合、Alibaba CloudにデプロイされたWebサイトまたはアプリケーションは、HTTPSを使用してデータ送信を暗号化します。 Classic Load Balancer (CLB) は、HTTPSを使用するサービスのセキュリティを強化するために、一般的に使用されるTLSセキュリティポリシーを提供します。 TLSセキュリティポリシーを選択して、サービスを保護できます。

制限事項

高性能CLBインスタンスのHTTPSリスナーを作成または設定するときに、TLSセキュリティポリシーを選択できます。

TLSセキュリティポリシーを設定する方法

HTTPSリスナーを追加または変更する場合、[SSL証明書の設定] ステップの [詳細設定] の右側にある [変更] をクリックします。次に、TLSセキュリティポリシーを選択します。詳細については、「HTTPSリスナーの追加」をご参照ください。

サポートされているTLSセキュリティポリシー

TLSセキュリティポリシーは、TLSバージョンと暗号スイートで構成されます。新しいバージョンは、より高い保護をサポートしますが、ブラウザとの互換性は低くなります。

セキュリティポリシー	サポートされているTLSバージョン	サポートされる暗号スイート
tls_cipher_policy_1_0	TLSv1.0 TLSv1.1 TLSv1.2	ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA
tls_cipher_policy_1_1	TLSv1.1 TLSv1.2	ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA
tls_cipher_policy_1_2	TLSv1.2	ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、AES128-GCM-SHA256、AES256-GCM-SHA384、AES128-SHA256、AES256-SHA256、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA、AES128-SHA、AES256-SHA、DES-CBC3-SHA
tls_cipher_policy_1_2_strict	TLSv1.2	ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA
tls_cipher_policy_1_2_strict_with_1_3	TLSv1.2 TLSv1.3	TLS_AES_256_GCM_SHA384、TLS_CHACA20_POLY1305_SHA256、TLS_AES_128_CCM_SHA256、TLS_AES_128_CCM_8_SHA256、ECDHE-ECDSA-AES128-GCM-SHA256、ECDHE-ECDSA-AES256-GCM-SHA384、ECDHE-ECDSA-AES128-SHA256、ECDHE-ECDSA-AES256-SHA384、ECDHE-RSA-AES128-GCM-SHA256、ECDHE-RSA-AES256-GCM-SHA384、ECDHE-RSA-AES128-SHA256、ECDHE-RSA-AES256-SHA384、ECDHE-ECDSA-AES128-SHA、ECDHE-ECDSA-AES256-SHA、ECDHE-RSA-AES128-SHA、ECDHE-RSA-AES256-SHA

TLSセキュリティポリシーの違い

次の表では、チェックマーク (✔() は、暗号スイートがTLSバージョンでサポートされていることを示します。ハイフン (-) は、暗号スイートがTLSバージョンでサポートされていないことを示します。

セキュリティポリシー		tls_cipher_policy_1_0	tls_cipher_policy_1_1	tls_cipher_policy_1_2	tls_cipher_policy_1_2_strict	tls_cipher_policy_1_2_strict_with_1_3
TLS	v1.0	✔	-	-	-	-
	v1.1	✔	✔	-	-	-
	v1.2	✔	✔	✔	✔	✔
	v1.3	-	-	-	-	✔
CIPHER	ECDHE-RSA-AES128-GCM-SHA256	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-GCM-SHA384	✔	✔	✔	✔	✔
	ECDHE-RSA-AES128-SHA256	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-SHA384	✔	✔	✔	✔	✔
	AES128-GCM-SHA256	✔	✔	✔	-	-
	AES256-GCM-SHA384	✔	✔	✔	-	-
	AES128-SHA256	✔	✔	✔	-	-
	AES256-SHA256	✔	✔	✔	-	-
	ECDHE-RSA-AES128-SHA	✔	✔	✔	✔	✔
	ECDHE-RSA-AES256-SHA	✔	✔	✔	✔	✔
	AES128-SHA	✔	✔	✔	-	-
	AES256-SHA	✔	✔	✔	-	-
	DES-CBC3-SHA	✔	✔	✔	-	-
	TLS_AES_256_GCM_SHA384	-	-	-	-	✔
	TLS_CHACHA20_POLY1305_SHA256	-	-	-	-	✔
	TLS_AES_128_CCM_SHA256	-	-	-	-	✔
	TLS_AES_128_CCM_8_SHA256	-	-	-	-	✔
	ECDHE-ECDSA-AES128-GCM-SHA256	-	-	-	-	✔
	ECDHE-ECDSA-AES256-GCM-SHA384	-	-	-	-	✔
	ECDHE-ECDSA-AES128-SHA256	-	-	-	-	✔
	ECDHE-ECDSA-AES256-SHA384	-	-	-	-	✔
	ECDHE-ECDSA-AES128-SHA	-	-	-	-	✔
	ECDHE-ECDSA-AES256-SHA	-	-	-	-	✔

よくある質問

CLBはカスタムTLSセキュリティポリシーをサポートしていますか。

CLBはカスタムTLSセキュリティポリシーをサポートしていません。

Application Load Balancer (ALB) とNetwork Load Balancer (NLB) は、カスタムTLSセキュリティポリシーをサポートしています。カスタムTLSセキュリティポリシーを使用する場合は、ALBまたはNLBを使用することを推奨します。

ALB、NLB、およびCLBの機能と機能の詳細については、「SLBとは何ですか? 」をご参照ください。
レイヤー7リスナーを使用する場合は、ALBを使用することを推奨します。詳細については、「TLSセキュリティポリシー」「カスタムTLSセキュリティポリシーを使用してWebサイトのセキュリティを向上させる」「ALBとは」をご参照ください。
レイヤー4リスナーを使用する場合は、NLBを使用することを推奨します。詳細については、「TLSセキュリティポリシー」および「NLBとは」をご参照ください。

Server Load Balancer:TLSセキュリティポリシー