TLS 1.3 を有効化する

このガイドでは、Fastly TLS を使用し、お客様が提供する TLS 証明書、または Fastly が提供および管理している TLS 証明書を使用するドメインで TLS 1.3 を有効にする方法について説明します。

TLS 1.3 について

HTTPS (Hypertext Transfer Protocol Secure) プロトコルを使用し、安全で暗号化されたトラフィックを Fastly 経由で配信するため、ウェブサイトやアプリケーションは信頼できる認証局によってデジタル署名がされた有効な TLS 証明書を提示する必要があります。TLS (トランスポート・レイヤー・セキュリティ) と とその前身である SSL (セキュアソケットレイヤー) は、クライアントが情報を要求するサーバーと Web ブラウザやアプリケーションとの間の安全な通信接続を確立するためのプロトコルです。

TLS プロトコルの最新バージョンである TLS 1.3 は、HTTPS を介したパフォーマンスとトラフィックのセキュリティを向上させるために設計されました。具体的には、このバージョンのプロトコルは、接続確立のハンドシェイクからラウンドトリップ全体を排除することでサーバーへの暗号化された接続を高速化します。ゼロラウンドトリップタイム (0-RTT) 機能は、クライアントがサポートを希望する最大のプロトコルバージョンを指定するクライアント・ハンドシェイク・プロセスの手順の1つである最初の ClientHello でリクエストを暗号化することにより、再開された接続のレイテンシを低減します。

また TLS 1.3 ではトラフィックの保護と暗号化のために、PFS (Perfect Forward Secrecy) を提供する暗号化スイートのみが許可されます。また TLS 1.3 では、サーバーとの TLS 接続が確立された後に TLS ハンドシェイクの設定を変更する TLS の再ネゴシエーション処理を明確に禁止しています。これらの制限により TLS 1.3 は以前のバージョンよりも安全なプロトコルになっています。

コントロールパネルで設定可能な場合とサポートへのご連絡が必要な場合について

TLS 1.3 は、以下のプロダクトを購入済みまたは使用中の場合に限り、コントロールパネルで有効することができます。

かつ、お客様のドメインが Fastly によって維持・管理された専用 IP アドレス上に設定されていないことが条件となります。

Platform TLS または専用 IP アドレスを購入済み、または使用中の場合、support@fastly.com にお問い合わせの上、TLS 1.3 の有効化を依頼してください。

制限と主要な動作

この機能を有効化、またはリクエストする前に、以下の点に注意してださい。

  • TLS プロトコルのネゴシエーションは、リクエストしたクライアントも TLS 1.3 をサポートしている場合にのみ行われます。古いバージョンのクライアントからリクエストが来た場合、Fastly は TLS 1.2 にダウングレードするようにデフォルト設定されています。
  • 0-RTT は Fastly とリクエストクライアント間でのみサポートされます。Fastly とオリジンサーバー間で 0-RTT はサポートされません。
  • 0-RTT 有効時、Fastly は 冪等性のあるリクエスト (クエリパラメータを持たない GET および HEAD リクエスト) にのみ応答するようにデフォルト設定されています。それによってアプリケーションを反射攻撃 (replay attacks) から守ることが可能です。
  • 0-RTT により発行されたリクエストは RFC 8470 に準拠した Early-Data:1 ヘッダーを含みます。VCL で req.http.early-data を使用することで、この属性の照会とログが取得できます。

新規ドメインに TLS 1.3 を設定する

ドメインに TLS を設定するには、認証局にドメインを登録してドメインを保護する必要があります。プログラムを介さず、Fastly コントロールパネルでこのプロセスを行うには、以下の手順にしたがってください。

  1. Fastly コントロールパネルにログインし、Secure をクリックします。TLS domains ページが表示され、TLS が有効化されている、または TLS を有効化することが可能なドメインが表示されます。まだどのドメインにも TLS を設定していない場合、このページには何も表示されません。
  2. Secure another domain ボタンをクリックします。
  3. 次のいずれかをご選択ください。
  4. 表示された選択メニューから、Use certificates Fastly obtains for you を選択します。Enter subscription details ページが表示されます。
  5. Domain フィールドに、1つまたは複数の apex ドメイン (例:example.com)、サブドメイン (例:www.example.comapi.example.com)、ワイルドカードドメイン (例:*.example.com) を入力し、Add ボタンをクリックしてください。追加したドメインは、そのページの Common name のセクションに表示されます。

    複数の新たなドメインを保護する際にデフォルトで表示される Enter subscription details ページ

    ドメインが1つしかない場合、共通名はドメイン名と同じになります。複数のドメインを追加した場合、メニューにドメイン名が表示されます。デフォルトでは、最初に追加されたドメインが選択されます。希望のドメインが選択されていない場合は、Common name メニューから別のドメインを選択します。

  6. Select a certification authority オプションから、証明書を保護するための認証局を1つ選択します。認証機関によって大きな価格差が生じることがあります。これらの違いの詳細については、価格設定ページでご確認ください。
  7. Fastly アカウントで以前に TLS を有効化している場合、Select a TLS configuration メニューを使用して、適用する TLS 1.3 設定を選択します。この選択により、証明書がデプロイされる IP アドレスと、その IP アドレスに適用される TLS 設定の両方が指定されます。

    • 0-RTT をサポートしない最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 を選択します。
    • 0-RTT をサポートする最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 + 0RTT を選択します。

    ただし、2022年3月29日以降に初めて Fastly アカウントで TLS を有効にする場合、このメニューは表示されません。TLS のデフォルト設定では HTTP/3 & TLS v1.3 + 0RTT が使用されます。

  8. Submit をクリックします。Subscription details ページには、お客様のドメインと、お客様がそのドメインを所有していることを確認するための詳細な手順が表示されます。
  9. View details ボタンをクリックしてドメインの情報を表示し、DNS プロバイダーで DNS レコードを更新するために使用します。

既存のドメインに TLS 1.3 を適用する

既存のドメインを新しい TLS 1.3 設定に移行する場合は、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、Secure をクリックします。TLS domains ページが表示され、TLS が有効化されている、または TLS を有効化することが可能なドメインが表示されます。
  2. 希望するドメインのカードを探します。
  3. 適切な証明書の隣にある View/Edit Activation ボタンをクリックします。
  4. 表示される設定リストから、適用したい TLS 1.3 設定の隣にある Activate をクリックします。この選択により、証明書がデプロイされる IP アドレスと、その IP アドレスに適用される TLS 設定の両方が指定されます。
    • 0-RTT をサポートしない最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 を有効化します。
    • 0-RTT をサポートする最新バージョンのプロトコルを適用する場合は、HTTP/3 & TLS v1.3 + 0RTT を有効化します。
  5. Done をクリックします。
  6. 証明書の TLS status エリアをご覧ください。設定を選択すると、ドメインのステータスは Deploying に変わります。TLS Status エリアが Activated に戻ると、選択した TLS 設定がドメインに適用されていることを示します。
  7. View details ボタンをクリックしてドメインの情報を表示し、DNS プロバイダーで DNS レコードを更新するために使用します。
  8. 新しい DNS レコードが反映されたことが確認できたら (最大で48時間かかります)、ゴミ箱のアイコンをクリックし、古い TLS 設定を削除してください。
Back to Top