Transport Layer Security (TLS) オプションの設定
Transport Layer Security (TLS) のオプションでは、訪問者がセキュア接続で Web サイトをブラウズできるかどうかを制御できます。また、セキュア接続でブラウズする場合に、IBM Cloud® Internet Services が起点サーバーに接続する方法も制御できます。
Off
からOn
に切り替えることで、セキュリティーとパフォーマンスを向上させるには、最新バージョンの TLS プロトコル (TLS 1.3) を使用します。
TLS 暗号化モード
モード・リストで次のいずれかのオプションを選択して、TLS モードを設定します。
これらのオプションは、最もセキュアでないもの (「オフ」) から最もセキュアなもの (「エンドツーエンド - CA 署名」) の順序でリストされています。
- 「オフ」 (非推奨)
- 「クライアントからエッジ」(エッジから起点の間は暗号化されず、自己署名の証明書はサポートされません)
- 「エンドツーエンド - フレキシブル」(エッジから発信元の間には自己署名の証明書を使用できます)
- 「エンドツーエンド - CA 署名」(デフォルトで推奨)
- 「HTTPS のみ発信元プル (HTTPS only origin pull)」(エンタープライズのみ)
Off
訪問者と CIS の間にはセキュアな接続がなく、CIS と Web サーバーの間にもセキュアな接続がありません。 訪問者は HTTP を介してのみ Web サイトを閲覧できます。HTTPS を使用して接続を試みる訪問者は、プレーン HTTP 版の Web サイトへの HTTP 301 Redirect
を受け取ります。
クライアントからエッジへ
訪問者と CIS の間にはセキュアな接続がありますが、CIS と Web サーバーの間にはセキュアな接続がありません。 Web サーバー上に TLS 証明書があることが要求されないにもかかわらず、訪問者に対しては、サイトが HTTP 対応のものとして表示されます。 Web サイトに機密情報がある場合、このオプションは推奨されません。 この設定は、ポート 443->80 でのみ機能します。 これは、Web サーバー上に TLS をセットアップできない場合の最後の手段としてのみ使用してください。 これは他のどのオプション (「オフ」であっても) よりも _セキュリティーが低い_ものであり、切り替えを決定すると問題が発生する可能性があります。
エンドツーエンド - フレキシブル
訪問者と CIS の間にはセキュアな接続があり、CIS と Web サーバーの間にもセキュアな (ただし認証は行われない) 接続があります。 少なくとも自己署名証明書を使用して、HTTPS 接続に応答するようにサーバーを構成する必要があります。 証明書の真正性は検証されません。(発信元 Web サーバーに接続する) CIS の視点からは、このことは、このエラー・メッセージを迂回することと同等です。 DNS 設定での発信元 Web サーバーのアドレスが正しければ、IBM からユーザーの Web サーバー (他の Web サーバーではなく) に対して接続が行われていることを確認できます。
{: caption="の図エンド・ツー・エンド・フレキシブル" caption-side="bottom"}の図エンド・ツー・エンド・フレキシブルTLSの図*エンド・ツー・エンド・フレキシブルTLSの図
エンドツーエンド - CA 署名
デフォルトであり、推奨されています。 訪問者と CIS の間にはセキュアな接続があり、CIS と Web サーバーの間には、セキュアで認証されている接続があります。 有効な TLS 証明書を使用して、HTTPS 接続に応答するようにサーバーを構成する必要があります。 この証明書は、認証局によって署名されていること、有効期限が将来の日付であること、および要求ドメイン名 (ホスト名) に応答することが必要です。 セキュリティーのベスト・プラクティスとして、この TLS モードの使用を続けることをお勧めします。ただし、より制限の緩いモードに変更することによるセキュリティー脅威の可能性について理解している場合は別です。
HTTPS のみ発信元プル (HTTPS only origin pull)
エンタープライズのみ。 このモードには、「エンドツーエンド - CA 署名」と同じ証明書の要件があります。また、要求された発信元のコンテンツが HTTP を介するものであったとしても、CIS と発信元 Web サーバーとの間のすべての接続を、HTTP から HTTPS にアップグレードします。
トラフィック暗号化 - 最小 TLS バージョン
リストからいずれかのバージョンを選択して、サイトに接続しようとするトラフィックの最小 TLS バージョンを設定します。
デフォルトでは 1.2
に設定されます。 より新しい TLS バージョンでは追加のセキュリティーが提供されますが、ブラウザーがサポートしていない可能性があります。 それが原因で、一部の顧客がお客様のサイトに接続できないこともあります。