TLS 1.3 を有効化する

      Last updated June 29, 2020

    このガイドではアップロードまたは Fastly 経由で取得した証明書を利用しているドメインにおいて、 Fastly TLS の設定を用いて TLS 1.3 を有効にする手順を説明します。

    TLS 1.3 について

    Fastly 経由で HTTPS で暗号化された安全なトラフィックを配信するためには、ウェブサイトやアプリケーションは信頼できる認証局で電子的に署名がされた TLS 証明書が必要になります。Transport Layer Security (TLS) やその前身である Secure Sockets Layer (SSL) はウェブブラウザやアプリケーションが情報を取得するサーバーと安全に通信をすることを可能にするプロトコルです。

    TLS の最新バージョンである TLS 1.3は HTTPS ドメインとの通信のパフォーマンスとセキュリティを改善するよう設計されています。特にコネクションを確立するために必要なハンドシェイクの全体のラウンドトリップを削減することでサーバーとの暗号化されたコネクションが高速化されます。 ゼロラウンドトリップタイム(0-RTT) 機能は、client handshake プロセスでクライアントが利用可能なプロトコルの最大バージョンを指定する最初の ClientHello に暗号化されたリクエストを送信することで再接続時のレイテンシーを削減します。

    更に TLS 1.3 ではトラフィックを暗号化するために Perfect Forward Secrecy (PFS) を提供する暗号化スイートのみを許可します。また、TLS 1.3 ではサーバーとの TLS 接続が確立された後に TLS ハンドシェイクの条件を変更する TLS の再ネゴシエーションを明確に禁止しています。これらの制限により TLS 1.3 は以前のバージョンよりもより安全なプロトコルになっています。

    Web コントロールパネルで設定可能なケースとサポートへのご連絡が必要なケースについて

    対象のドメインが専用 IP アドレスオプション を利用しておらず、以下のオプションをご利用の場合は TLS 1.3 は Web コントロールパネルで有効化することが出来ます。

    以下のオプションに TLS 1.3 を有効化したい場合は support@fastly.com までご連絡下さい。

    制限事項と挙動について

    TLS1.3 を有効化する前に以下の点をご確認下さい。

    TLS 1.3 を新規ドメインに設定する

    TLS 1.3 を Fastly コントロールパネルに登録されていないドメインに有効化したい場合、次の手順を実行して下さい。

    1. Fastly コントロールパネルにログインし、Configure のリンクをクリックします。
    2. HTTPS and network タブをクリックして下さい。TLS を有効化したドメインと、有効化することが可能なドメインの情報を含む TLS domains ページが表示されます。TLS の設定をまだ開始していない場合、このページにドメイン情報は何も表示されません。
    3. Secure another domain ボタンをクリックして下さい。Enter domain ウインドウが表示されます。
    4. 次のいずれかをご選択下さい:
      • ご自身の TLS 証明書や秘密鍵を利用したい場合、I want to bring my own certificate and private key リンクをクリックして、お客様所有の証明書を利用した HTTPS での配信 に記載されている内容に従って作業を行って下さい。
      • Fastly が取得し、管理する TLS 証明書と秘密鍵を利用したい場合、以下の手順を実行して下さい。
    5. Domain name フィールドに apex ドメイン (例, example.com)、サブドメイン (例, www.example.comapi.example.com)、ワイルドカードドメイン (例, *.example.com)等を入力して下さい。
    6. Select a TLS configuration メニューから適用したい TLS 1.3 configuration を選択して下さい。証明書が展開される IP アドレスと、その IP に適用される TLS 設定が決定されます。
      • TLS v1.3+ORTT 0-RTT が有効な TLS の最新バージョン
      • TLS v1.3 0-RTT が有効化されていない TLS の最新バージョン
    7. Continue ボタンをクリックして下さい。TLS domains ページが表示されます。このページには追加したドメインや、その他のドメインの TLS や 証明書の情報が表示されています。
    8. DNS details を確認しドメインの情報に間違いがないかを確認し、Fastly マネージド証明書を利用して HTTPS で配信するに記載されている内容に沿ってドメイン認証を行って下さい。 上記の手順書には Fastly の Web コントロールパネルに追加したドメインが管理可能であることを証明する2つの方法が記載されています。また、Web コントロールパネルに表示されるドメインの認証プロセスの進捗を示す TLS ステータス についての説明も記載されています。
    9. DNS details を確認して対象のドメインの DNS プロバイダーに登録されている DNS レコードを更新して下さい。

    既存のドメインに TLS 1.3 を適用する

    既存のドメインに適用されたデフォルトの TLS 設定を上書きするか、既存のドメインに新しい TLS 設定を適用したい場合は以下の手順を実行して下さい。

    1. Fastly コントロールパネルにログインし、Configure のリンクをクリックします。
    2. HTTPS and network タブをクリックして下さい。TLS を有効化したドメインと、有効化することが可能なドメインの情報を含む TLS domains ページが表示されます。
    3. 設定を更新したいドメインを確認して下さい。
    4. 対象のドメインの More details リンクをクリックして下さい。DNS の詳細情報 (DNS details)が表示されます。
    5. DNS の詳細情報 (DNS details) の一番下に表示されている Add TLS configuration メニューをクリックして下さい。
    6. 表示されたオプションから適用したい TLS 1.3 configuration を選択して下さい。証明書が展開される IP アドレスと、その IP に適用される TLS 設定が決定されます。
      • TLS v1.3+ORTT 0-RTT が有効な TLS の最新バージョン
      • TLS v1.3 0-RTT が有効化されていない TLS の最新バージョン
    7. 対象のドメインの TLS Status を確認して下さい。TLS Configuration を追加するとステータスが Enabled (有効)から Enabled-Certificate issued deploying across Fastly's Global Network (証明書を Fastly ネットワークに展開中)に変わります。TLS ステータスは数分程度で Enabled に戻ります。 Enabled になると、選択した TLS Configuration のドメインへの適用が完了しています。
    8. DNS details を確認して対象のドメインの DNS プロバイダーに登録されている DNS レコードを更新して下さい。
    9. 新しい DNS レコードが伝搬されていることを確認して下さい(これには48時間程度かかることがあります)。伝搬の完了を確認したら、古い TLS Configuration の横に表示されているゴミ箱のアイコンをクリックして TLS Configuration を削除して下さい。
    Back to Top