TLS オプション

      Last updated May 01, 2020

    Fastly は、Web サイトやアプリケーションがサービスのプラバシーとデーターセキュリティに必要となる HTTPS でトラフィックを配信できるようにする様々な TLS (Transport Layer Security) サービスを提供しています。Fastly から安全な HTTPS トラフィックを配信するには、Web サイトに一致する秘密鍵を持つ有効な TLS 証明書が必要です。これらの証明書は、お客様が生成してアップロードすることも、Fastly 側で代わりに作成することも可能です。

    重要な検討事項

    Let's Encrypt やその他の認証局が提供する証明書は、サードパーティーの技術です。利用者は、自分が正当な登録者であることに責任を持ち、代わりに手配された証明書に記載されているドメインを管理していることを証明する必要があります。

    GlobalSign が提供する証明書は、https://www.globalsign.com/repository に記載された GlobalSign の利用規約に従うものとします。

    Fastly の PCI 準拠キャッシングまたは HIPAA 準拠キャッシング を購入している場合、Fastly は PCI Security Standards Council が定めるコンプライアンス要件を満たすために、すべての接続に TLS 1.2 以上を適用します。

    デフォルトでは、Server Name Indication (SNI) 拡張機能を使用します。最新のブラウザはすべて SNI をサポートしています。SNI をサポートしていないクライアント(Windows XP や Android 2.x 以前のクライアントなど)は、TLS ハンドシェイクのエラーが発生します。

    Fastly は、RSA 公開鍵暗号化のために最小鍵長 2048 ビットの信頼された認証局によって署名された SHA-256 証明書をサポートしています。パフォーマンス上の理由から、それ以上の鍵長が必要ない場合には、2048 ビットの鍵長を使用することを強くお勧めします。

    Fastly TLS

    Fastly TLS では、有料アカウントのお客様は、Web コントロールパネルまたは API を使用してドメインごとに TLS 証明書を管理することができます(開発者向けトライアルアカウントでは、Fastly TLS を使用することはできません)。Fastly TLS では、お客様が TLS 証明書と秘密鍵を生成してアップロードする方法と、Fastly がサードパーティの認証局を介して TLS 証明書を代わりに生成して管理する方法があります。

    設定・動作

    お客様所有の証明書を利用する場合、Fastly の Web コントロールパネルまたは API を使用して TLS ファイルをアップロードすることができます。証明書をアップロードする前に、対応する秘密鍵を事前にアップロードしておく必要があります。

    Fastly が管理する証明書を利用する場合、証明書の発行要求を完了させるには DNS レコードを変更することで、ドメインを管理できることを証明する必要があります。Fastlyはドメインごとに1つの証明書を生成します。

    デフォルトでは、Fastly は TLS 証明書を共有 IP アドレスにインストールします。クライアントのリクエストが Fastly に送信されると、TLS の SNI 拡張機能を使用して正しい証明書を選択し、クライアントが TLS ハンドシェイクリクエストでホスト名を提示できるようにします。

    課金方法

    Fastly TLS は、月末に TLS が有効になっている FQDN (fully qualified domain names) (例: example.comwww.example.com) とワイルドカードドメイン(例: *.example.com)の数に基づいて課金されます。

    コンシェルジュTLS

    コンシェルジュ TLS は、エンタープライズサポート オプションのパッケージとして販売され、TLS に特化した高度な設定サポートを提供します。コンシェルジュ TLS は、Fastly TLS のドメイン追加の制限を50から100に増やし、、エンタープライズ向けの高度な TLS サポートと設定オプションを提供します。お客様がお持ちの証明書をご利用になる場合には、Domain Validated (DV)、Organization Validated (OV)、およびExtended Validation (EV) 証明書のサポートが可能となります。

    エンタープライズサポートにコンシェルジュ TLS を加える場合には、sales@fastly.com までお問い合わせください。

    その他のTLSオプション

    Fastly TLS の他にも、共有証明書オプションや商用認証局から調達した証明書を使用するマネージドオプションなど、いくつかの TLS オプションをご用意しています。

    共有 TLS 証明書オプション

    Fastly は以下の共有 TLS 証明書オプションを提供しています。

    Fastlyの共有ドメインを利用した無料 TLS

    Fastly は無料の TLS オプションを提供しており、example.global.ssl.fastly.net のような Fastly の共有ドメインで HTTPS トラフィックを配信することができます。

    このオプションを使用するには、ガイドの無料 TLS の設定の手順に従い、設定をはじめる前にの項目を確認してください。特定のトラフィックルーティング、ドメイン名や URL の要件がある場合は、Fastly の有料 TLS オプションを利用すると、より柔軟に対応できます。

    共有 TLS 証明書サービス

    Fastly の共有 TLS 証明書サービスでは、Fastly Subject Alternative Name (SAN) 証明書を使用して HTTPS トラフィックを配信することができます。セカンドレベルのドメインとアドレスを最大 5 つまで追加することができますが、証明書の管理は Fastly が行います。

    このオプションを購入して使用するには、TLS 証明書に含まれるドメインを管理する の手順を参照してください。Fastly web コントロールパネルで追加を行うと、自動的に課金されます。共有 TLS 証明書にセカンドレベルドメインを追加するたびに、請求に追加されます。追加の際には、1ヶ月全期間利用した場合に月末に課金されます。部分的に使用した月については請求されません。

    共有TLSワイルドカード証明書サービス

    Fastly の共有 TLS ワイルドカード証明書サービスを使用すると、Fastly SAN 証明書を使用して HTTPS トラフィックを配信することができます。ワイルドカードドメインとアドレスを最大 5 つまで追加することができますが、証明書の管理は Fastly が行います。

    このオプションを購入して使用するには、TLS 証明書に含まれるドメインを管理する の手順を参照してください。Fastly web コントロールパネルで追加を行うと、自動的に課金されます。ワイルドカードドメインを共有 TLS 証明書に追加するたびに、請求に追加されます。追加の際には、1ヶ月全期間利用した場合に月末に課金されます。部分的に使用した月については請求されません。

    Dedicated IPアドレス

    Limited availability として、Fastly は、お客様固有の DNS レコードで指定された Dedicated IP アドレス にお客様証明書をインストールすることができます。これらのDNSレコードは、3つのネットワークルーティングオプション(ネットワークマップまたはドメインマップと呼ばれることもあります)を使用するように設定することができ、Fastly ネットワークのどの部分を使用するかを選択することができます。

    お客様がこのオプションの使用基準を満たしているかどうかを確認するには、sales@fastly.com までお問い合わせください。

    証明書の調達、管理、ホスティング

    Fastlyでは、お客様に代わって専用の TLS 証明書を購入し、管理、ホスティングするサービスを提供しています。このサービスを購入すると、以下のようになります。

    このホスティングオプションの購入にご興味のある方は、sales@fastly.com までご連絡ください。

    TLS 1.3 と 0-RTT

    TLS プロトコルの最新バージョンである TLS 1.3 は、HTTPS で配信されるトラフィックのパフォーマンスとセキュリティを向上させるために設計されています。2018年にインターネット技術タスクフォース(IETF)によって承認されたこのバージョンでは、以前のバージョンに比べてより強力な暗号セットが提供され、さらにセキュアな接続を確立するために必要なラウンドトリップの数が削減されています。新しいセッションではラウンドトリップが1回減り、0-RTT を有効にすると、再開された接続では、最初の ClientHello でアプリケーションのリクエストを暗号化することでレイテンシの削減を実現できます。これにより、ラウンドトリップ時間がゼロになります(0-RTT)。

    制限事項と重要な動作

    この機能をリクエストする前に、以下のことをご理解ください。

    TLS 1.3 と 0-RTT を有効にするには

    TLS 1.3 を有効にするには、support@fastly.com に連絡してください。0-RTT で発行されたリクエストは、RFC 8470に従って Early-Data:1 ヘッダを含みます。この属性は VCL では req.http.early-data として確認したり、ログに記録したりすることができます。

    Back to Top

    Additional resources: