Toshiya Bata

Certificate Provisioning System(CPS)での証明書管理 - 暗号スイートの設定編

Blog Post created by Toshiya Bata Employee on Dec 20, 2016

アカマイエッジサーバとエンドユーザ様の間の通信で利用する暗号スイート(Cipher Suites)は、証明書ごとに設定していただくことが可能となっております。本記事では、暗号スイートの最適化必要性とその設定方法についてご案内させていただきます。

 

  • 暗号スイートの最適化必要性

暗号スイートの脆弱性が明らかとなり、その攻撃に備えて暗号スイートの最適化が必要となるシーンが増えてきています。2016年9月のSweet32脆弱性を利用したトリプルDES CBCモードに対する攻撃などは記憶に新しいかと思います。(参考記事)こういった脆弱性を対処しない状態で攻撃を受けると、ホームページの機能停止や情報の流出の危険を伴うため、暗号スイートの最適化が必要となります。

一方で、利用できる暗号スイートを最適化(変更)するということは、これまで接続できていたエンドユーザが接続できなくなってしまう可能性もあるため、最適化の判断は慎重に行う必要もあります。

アカマイから提供している暗号スイートのプロファイル(暗号プロファイル)は、こちらの記事を参考にしてください。脆弱性を含むトリプルDESを除外した暗号プロファイルは、ak-akamai-default-2016q3となります。

※記事の情報は、2016年12月現在のものです。

 

  • 暗号スイートの設定方法

暗号スイートの設定方法をご案内します。暗号スイートの設定は、Certificate Provisioning Systemから実施可能です。

1. SSL証明書管理に移動します。

 

 

2. "TLSメタデータの編集"に移動します。

 

 

3. 暗号スイートを設定します。

 a. アカマイで事前に設定しているプロファイルを利用する場合

  1) "暗号プロファイル"グループの"必要な暗号"と"優先する暗号"において、プルダウンより設定したいプロファイルを選択します。

  ※SSLハンドシェイクを行う際、まず最初に"優先する暗号"から利用するCipherの選択を試みますが、利用できるものがなかった場合に"必要な暗号"のCipherから選択を試みます。特に要件がない場合は、"必要な暗号"と"優先する暗号"は同一にしておくことが推奨されます。

  ※最新の暗号プロファイルは、こちらの記事にてご確認ください。

 

 

 

  2) 最下部の"Submit"ボタンを押下します。

  3) 設定の反映には、1〜1.5時間ほど要します。

 

 b. 任意の暗号スイートを設定する場合

  お客様ご自身では設定いただけません。

  弊社アカウントチームまでご相談ください。

Outcomes