TLS 1.3 を有効化する

このガイドでは、Fastly TLS を使用し、お客様が提供する TLS 証明書、または Fastly が提供および管理している TLS 証明書を使用するドメインの TLS 1.3 を有効にする方法について説明します。

TLS 1.3 について

HTTPS (Hypertext Transfer Protocol Secure) プロトコルを使用し、安全で暗号化されたトラフィックを Fastly 経由で配信するため、ウェブサイトやアプリケーションは信頼できる認証局によってデジタル署名がされた有効な TLS 証明書を提示する必要があります。TLS (トランスポート・レイヤー・セキュリティ) と とその前身である SSL (セキュアソケットレイヤー) は、クライアントが情報を要求するサーバーと Web ブラウザやアプリケーションとの間の安全な通信接続を確立するためのプロトコルです。

TLS プロトコルの最新バージョンである TLS 1.3 は、HTTPS を介したパフォーマンスとトラフィックのセキュリティを向上させるために設計されました。具体的には、このバージョンのプロトコルは、接続確立のハンドシェイクからラウンドトリップ全体を排除することでサーバーへの暗号化された接続を高速化します。ゼロラウンドトリップタイム (0-RTT) 機能は、クライアントがサポートを希望する最大のプロトコルバージョンを指定するクライアント・ハンドシェイク・プロセスの手順の1つである最初の ClientHello でリクエストを暗号化することにより、再開された接続のレイテンシを低減します。

また TLS 1.3 ではトラフィックの保護と暗号化のために、PFS (Perfect Forward Secrecy) を提供する暗号化スイートのみが許可されます。また TLS 1.3 では、サーバーとの TLS 接続が確立された後に TLS ハンドシェイクの設定を変更する TLS の再ネゴシエーション処理を明確に禁止しています。これらの制限により TLS 1.3 は以前のバージョンよりも安全なプロトコルになっています。

コントロールパネルで設定可能な場合とサポートへのご連絡が必要な場合について

TLS 1.3 は、以下の製品を購入済みまたは使用中の場合に限り、コントロールパネルで有効することができます。

かつ、お客様のドメインが Fastly によって維持、管理された専用 IP アドレス上に構成されていないことが条件となります

を購入済みまたは使用中の場合は Platform TLS または 専用 IP アドレス サポートが必要になります。その場合、support@fastly.com にお問い合わせの上、TLS 1.3 の有効化を依頼してください。

その場合、support@fastly.com にお問い合わせの上、TLS 1.3 の有効化を依頼してください。

制限と主要な動作

この機能を有効化、またはリクエストする前に、以下の点に注意してださい。

  • TLS プロトコルのネゴシエーションは、リクエストしたクライアントも TLS 1.3 をサポートしている場合にのみ行われます。古いバージョンのクライアントからリクエストが来た場合、Fastly は TLS 1.2 にダウングレードするようにデフォルト設定されています。
  • 0-RTT は Fastly とリクエストクライアント間でのみサポートされます。Fastly とオリジンサーバー間で 0-RTT はサポートされません。
  • 0-RTT 有効時、Fastly は 冪等性のあるリクエスト (クエリパラメータを持たない GET および HEAD リクエスト) にのみ応答するようにデフォルト設定されています。それによってアプリケーションを反射攻撃 (replay attacks) から守ることが可能です。
  • 0-RTT により発行されたリクエストは RFC 8470 に準拠した Early-Data:1 ヘッダーを含みます。VCL で req.http.early-data を使用することで、この属性の照会とログが取得できます。

新規ドメインに TLS 1.3 を設定する

ドメインに TLS を設定するには、まず認証局にドメインを登録する必要があります。プログラムを介さず、Fastly コントロールパネルでこのプロセスを行うには、以下の手順にしたがってください。

  1. Fastly コントロールパネルにログインし、Configure をクリックします。
  2. HTTPS and network タブをクリックしてください。TLS を有効化したドメインと、有効化することが可能なドメインの情報を含む TLS domains ページが表示されます。まだどのドメインにも TLS を設定していない場合、このページには何も表示されません。
  3. Secure another domain ボタンをクリックします。
  4. 次のいずれかをご選択ください。
    • ご自身の TLS 証明書と秘密鍵をお持ちの場合は、下記の手順ではなく Use certificates you've provided リンクをクリックし、ガイドのお客様所有の証明書をアップロードおよびデプロイガイドの指示に従ってください。
    • TLS 証明書と鍵を Fastly に調達・管理させたい場合は、以下の残りのステップに進んでください。
  5. 表示された選択メニューから、Use certificates Fastly obtains for you を選択します。Enter subscription details ページが表示されます。

    新たなドメインを保護する際に表示される Enter subscription details ページ

  6. Domain フィールドに、1つまたは複数の apex ドメイン (例:example.com)、サブドメイン (例:www.example.comapi.example.com)、ワイルドカードドメイン (例:*.example.com) を入力し、Add ボタンをクリックしてください。追加したドメインは、そのページの Common name のセクションに表示されます。

    ドメインが1つしかない場合、共通名はドメイン名と同じになります。複数のドメインを追加した場合、メニューにドメイン名が表示されます。デフォルトでは、最初に追加されたドメインが選択されます。希望のドメインが選択されていない場合は、Common name メニューから別のドメインを選択します。

    複数の新たなドメインを保護する際に表示される Enter subscription details ページ

  7. Select a certification authority オプションから、証明書を保護するための認証局を1つ選択します。認証機関によって大きな価格差が生じることがあります。価格差の詳細については、料金プランページでご確認ください。

  8. Select a TLS configuration セクションの Enable on メニューから、適用する TLS 1.3 の設定を選択します。この選択により、証明書がデプロイされる IP アドレスと、その IP アドレスに適用される TLS 設定の両方が指定されます。
    • 0-RTT を提供する最新バージョンのプロトコルを適用するには、TLS v1.3+0RTT を選択してください。
    • 0-RTT を提供しない最新バージョンのプロトコルを適用するには、TLS v1.3 を選択してください。
  9. Submit をクリックします。Subscription details ページには、お客様のドメインと、お客様がそのドメインを所有していることを確認するための詳細な手順が表示されます。

既存のドメインに TLS 1.3 を適用する

既存のドメインに適用されているデフォルトの TLS 設定を上書きする場合、または既存のドメインを新しい TLS 設定に移行する場合は、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインし、Configure をクリックします。
  2. HTTPS and network タブをクリックしてください。TLS ドメインページに、TLS が有効になっているドメインもしくは、有効にすることができるドメインが表示されます。
  3. 希望するドメインのカードを探します。
  4. カードの More details リンクをクリックします。そのドメインの DNS の詳細が表示されます。
  5. DNS details セクションの下にある Add TLS configuration メニューをクリックします。
  6. 表示されたオプションから、適用する TLS 1.3 設定を選択します。この選択により、証明書がデプロイされる IP アドレスと、その IP アドレスに適用される TLS 設定の両方が指定されます。
    • 0-RTT を提供する最新バージョンのプロトコルを適用するには、TLS v1.3+0RTT を選択してください。
    • 0-RTT を提供しない最新バージョンのプロトコルを適用するには、TLS v1.3 を選択してください。
  7. ドメインのカードの TLS Status セクションを確認します。設定を選択すると、ドメインのステータスは Enabled から Enabled-Certificate issued deploying across Fastly's Global Network に変化します。数分後、ステータスは Enabled に戻ります。TLS Status フィールドが Enabled に戻ると、選択した TLS の構成がドメインに適用されます。
  8. ドメインの DNS の詳細情報を確認し、この情報を使用して DNS プロバイダーにて DNS レコードを更新してください。
  9. 新しい DNS レコードが反映されたことが確認できたら (最大で48時間かかります)、ゴミ箱のアイコンをクリックし、古い TLS 設定を削除してください。
Back to Top