Fastly で TLS 1.3 を有効化する

このガイドでは、Fastly TLS を使用し、お客様が提供する TLS 証明書、または Fastly が提供および管理している TLS 証明書を使用するドメインで TLS 1.3 を有効にする方法について説明します。

TLS 1.3 について

HTTPS (Hypertext Transfer Protocol Secure) プロトコルを使用し、安全で暗号化されたトラフィックを Fastly 経由で配信するため、ウェブサイトやアプリケーションは信頼できる認証局によってデジタル署名がされた有効な TLS 証明書を提示する必要があります。TLS (トランスポート・レイヤー・セキュリティ) と とその前身である SSL (セキュアソケットレイヤー) は、クライアントが情報を要求するサーバーと Web ブラウザやアプリケーションとの間の安全な通信接続を確立するためのプロトコルです。

TLS プロトコルの最新バージョンである TLS 1.3 は、HTTPS を介したパフォーマンスとトラフィックのセキュリティを向上させるために設計されました。具体的には、このバージョンのプロトコルは、接続確立のハンドシェイクからラウンドトリップ全体を排除することでサーバーへの暗号化された接続を高速化します。ゼロラウンドトリップタイム (0-RTT) 機能は、クライアントがサポートを希望する最大のプロトコルバージョンを指定するクライアント・ハンドシェイク・プロセスの手順の1つである最初の ClientHello でリクエストを暗号化することにより、再開された接続のレイテンシを低減します。

また TLS 1.3 ではトラフィックの保護と暗号化のために、PFS (Perfect Forward Secrecy) を提供する暗号化スイートのみが許可されます。また TLS 1.3 では、サーバーとの TLS 接続が確立された後に TLS ハンドシェイクの設定を変更する TLS の再ネゴシエーション処理を明確に禁止しています。これらの制限により TLS 1.3 は以前のバージョンよりも安全なプロトコルになっています。

コントロールパネルで設定可能な場合とサポートへのご連絡が必要な場合について

TLS 1.3 は、以下のプロダクトを購入済みまたは使用中の場合に限り、コントロールパネルで有効することができます。

• Fastly TLS
• コンシェルジュ TLS または
• Fastly の お客様が手配した TLS 証明書のレガシーホスティングサービス

およびお客様のドメインが Fastly によって維持・管理された専用 IP アドレス上に設定されていないことが条件となります。

Platform TLS または Dedicated IP アドレスを購入または使用されている場合、またはカスタムドメインマッピングを実施している場合、サポートチームにお問い合わせの上、TLS 1.3 を有効化してください。

制約事項と主要な動作

この機能を有効化またはリクエストする前に、以下の点に注意してださい。

• TLS プロトコルのネゴシエーションは、リクエストしたクライアントも TLS 1.3 をサポートしている場合にのみ行われます。古いバージョンのクライアントからリクエストが来た場合、Fastly は TLS 1.2 にダウングレードするようにデフォルト設定されています。
• 0-RTT は Fastly とリクエストクライアント間でのみサポートされます。Fastly とオリジンサーバー間で 0-RTT はサポートされません。
• 0-RTT 有効時、Fastly は 冪等性のあるリクエスト (クエリパラメータを持たない GET および HEAD リクエスト) にのみ応答するようにデフォルト設定されています。それによってアプリケーションを反射攻撃 (replay attacks) から守っています。
• 0-RTT により発行されたリクエストは RFC 8470 に準拠したEarly-Data:1ヘッダーを含みます。VCL で req.http.early-data を使用することで、この属性の照会とログが取得できます。

新規ドメインに TLS 1.3 を設定する

ドメイン向け TLS の設定は、認証局にドメインを登録して「安全性を確保する」必要があります。プログラムを介さず、Fastly コントロールパネルでこのプロセスを行うには、以下の手順にしたがってください。

1. Fastly コントロールパネルにログインします。

2. Security > TLS management > Domainsに移動します。

3. Secure another domain をクリックします。

4. 次のいずれかをご選択ください。

   • ご自身が手配した TLS 証明書と秘密鍵をお持ちの場合は、下記の手順ではなく Use certificates you've provided をクリックし、お客様が手配した証明書をアップロードおよびデプロイする方法に関するガイドの指示に従ってください。
   • TLS 証明書とキーを Fastly に調達・管理させたい場合は、以下の残りのステップに進んでください。

5. 表示された選択メニューから、Use certificates Fastly obtains for you を選択します。

6. Domain フィールドに、1つまたは複数の apex ドメイン (例: example.com)、サブドメイン (例: www.example.comや api.example.com)、ワイルドカードドメイン (例: *.example.com) を入力し、Add をクリックしてください。追加したドメインは、そのページの Common name のセクションに表示されます。

   

   ドメインが1つしかない場合、コモンネームはドメイン名と同じになります。複数のドメインを追加した場合、メニューにドメイン名が表示されます。デフォルトでは、最初に追加されたドメインが選択されます。希望のドメインが選択されていない場合は、Common name メニューから別のドメインを選択します。

7. Select a certification authority オプションから、証明書を保護するための認証局を1つ選択します。認証機関によって大きな価格差が生じることがあります。これらの違いの詳細については、価格設定ページでご確認ください。

8. Fastly アカウントで以前に TLS を有効化している場合、Select a TLS configuration メニューを使用して、適用する TLS 1.3 設定を選択します。この選択により、証明書がデプロイされる IP アドレスと、その IP アドレスに適用される TLS 設定の両方が指定されます。

   • 0-RTT をサポートしない最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 を選択します。
   • 0-RTT をサポートする最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 + 0RTT を選択します。

   ただし、2022年3月29日以降に初めて Fastly アカウントで TLS を有効にする場合、このメニューは表示されません。TLS のデフォルト設定では HTTP/3 & TLS v1.3 + 0RTT が使用されます。

9. Submit をクリックします。Subscription details ページには、お客様のドメインと、お客様がそのドメインを所有していることを確認するための詳細な手順が表示されます。

10. View details をクリックしてドメインの情報を表示し、DNS プロバイダーで DNS レコードを更新します。

既存のドメインに TLS 1.3 を適用する

既存のドメインを新しい TLS 1.3 設定に移行する場合は、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。
2. Security > TLS management > Domainsに移動します。
3. 希望するドメインのカードを探します。
4. 適切な証明書の横にある View/Edit Activation をクリックします。
5. 表示される設定リストから、適用したい TLS 1.3 設定の隣にある Activate をクリックします。この選択により、証明書がデプロイされる IP アドレスと、その IP アドレスに適用される TLS 設定の両方が指定されます。
   • 0-RTT をサポートしない最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 を有効化します。
   • 0-RTT をサポートする最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 + 0RTT を有効化します。
6. Done をクリックします。
7. 証明書の TLS status エリアをご覧ください。設定を選択すると、ドメインのステータスは Deploying に変わります。TLS Status エリアが Activated に戻ると、選択した TLS 設定がドメインに適用されていることを示します。
8. View details をクリックしてドメインの情報を表示し、DNS プロバイダーで DNS レコードを更新します。
9. 新しい DNS レコードが反映されたことが確認できたら (反映には最大で48時間かかります)、ゴミ箱のアイコンをクリックし、古い TLS 設定を削除してください。