DuraSite-Edge Online Manual

2. 暗号化アルゴリズム

Table Of Contents

HTTPS通信を開始する際のTLSハンドシェイクプロセスにおいて、クライアント(ブラウザなど)とサーバー(DuraSite-Edge)は、安全な通信経路を確立するために使用する暗号化技術の組み合わせ、すなわち「暗号スイート(Cipher Suite)」を決定します。本セクションでは、DuraSite-Edgeがサポートする暗号スイートについて説明します。

機能概要 #

暗号スイートは、以下の要素を含む暗号化技術の組み合わせを定義するものです。

  • 鍵交換アルゴリズム: 通信に使用する共通鍵を安全に決定・共有する方法(例: ECDHE, RSA)。
  • データ暗号化アルゴリズム: 実際の通信内容を暗号化する方法(例: AES_128_GCM, CHACHA20_POLY1305)。
  • メッセージ認証コード (MAC) アルゴリズム: 送受信されるデータの完全性を検証し、改ざんを検知する方法(例: SHA256, SHA384)。

DuraSite-Edgeでは、セキュリティ(既知の脆弱性がなく、十分な強度を持つこと)と、幅広いクライアント(最新のブラウザやOSなど)との互換性を考慮し、推奨される暗号スイート群をサポートしています。TLSハンドシェイク時には、クライアントが提示するサポートリストとDuraSite-Edgeのサポートリストを照合し、双方が利用可能で最も優先度の高い暗号スイートが自動的に選択され、その後の通信に使用されます。

【サポートされる暗号スイート一覧 (例)】

(注意: サポートされる暗号スイートのリストや優先順位は、セキュリティのベストプラクティスや基盤システムの更新に伴い、予告なく変更される可能性があります。最新の正確なリストが必要な場合は、弊社担当までお問い合わせください。以下はあくまで代表的な例です。)

  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA

設定方法 #

サポートされる暗号スイートのリスト、およびTLSハンドシェイク時にクライアントに提示される際の優先順位は、弊社(DuraSite-Edgeサービス提供者)がセキュリティのベストプラクティスと幅広い互換性を考慮して一元的に管理・設定しています。

通常、お客様が管理画面等からこれらの暗号スイートを個別に追加、削除、有効/無効を切り替えたり、優先順位を変更したりすることはできません。

主なユースケース #

このサポートされる暗号スイートの情報は、お客様にとって主に以下の目的で参照・利用されることを想定しています。

  • セキュリティ監査・要件確認:
    • お客様の社内セキュリティ基準や、外部の監査機関(例: PCI DSS審査)に対して、DuraSite-EdgeとのHTTPS通信で使用される暗号化技術が、業界標準や推奨される方式(例: 強度の高いAES-GCMやChaCha20-Poly1305による認証付き暗号、前方秘匿性を提供するECDHE鍵交換など)に準拠していることを示すための技術的な根拠資料として利用します。
  • クライアント互換性の担保確認:
    • モダンなWebブラウザ(Chrome, Firefox, Safari, Edgeなど)、主要なオペレーティングシステム(Windows, macOS, Linux, iOS, Androidなど)、モバイルアプリ開発キットなどがサポートする標準的な暗号スイートが、DuraSite-Edge側でもサポートされていることを確認し、幅広いクライアント環境との接続互換性が確保されていることの裏付けとして利用します。
  • 接続トラブルシューティング時の情報:
    • まれに、特定の(特に古い、または独自実装の)クライアントアプリケーションや組み込みデバイスなどがDuraSite-Edgeとの間でHTTPS接続を確立できない場合に、原因調査の一環として利用されることがあります。クライアント側のTLS実装やサポートする暗号スイートのリストと、DuraSite-Edgeがサポートするこのリストを比較し、共通して利用可能な暗号スイートが存在しない、あるいはネゴシエーションの過程で何らかの問題が発生している可能性を探るための一助となります。