- Application Programming Interface (API)
- Assurance Services
- Cloud Optimizer
- DDoS Protection and Mitigation Service and SLA
- Dedicated IP addresses
- Designated Technical Specialist
- Fastly product lifecycle
- Fastly’s Full-Site Delivery
- Fastly's Media Shield
- Fastly's On-the-Fly Packaging service
- Fastly’s Streaming Delivery
- HIPAA-Compliant Caching and Delivery
- Live Event Monitoring Service
- Logging Insights Package
- Origin Connect
- PCI-Compliant Caching and Delivery
- Performance Optimization Package
- Platform TLS Certificate Management Product
- Professional Services
- Related offerings
- Service availability SLA
- Subscriber Provided Prefix
- Summary product definitions
- Support description and SLA
- TLS オプション
- TLS service options
- WAF Quick Start Package
- WAF Support and SLA
- WAF Tuning Package
- WAF Tuning Plus Package
TLS オプション
Last updated May 01, 2020
Fastly は、Web サイトやアプリケーションがサービスのプラバシーとデーターセキュリティに必要となる HTTPS でトラフィックを配信できるようにする様々な TLS (Transport Layer Security) サービスを提供しています。Fastly から安全な HTTPS トラフィックを配信するには、Web サイトに一致する秘密鍵を持つ有効な TLS 証明書が必要です。これらの証明書は、お客様が生成してアップロードすることも、Fastly 側で代わりに作成することも可能です。
ヒント: Fastly の pricing ページ は、当社の TLS サービスの現在の料金の詳細を記載しています。
重要な検討事項
Let's Encrypt やその他の認証局が提供する証明書は、サードパーティーの技術です。利用者は、自分が正当な登録者であることに責任を持ち、代わりに手配された証明書に記載されているドメインを管理していることを証明する必要があります。
GlobalSign が提供する証明書は、https://www.globalsign.com/repository に記載された GlobalSign の利用規約に従うものとします。
Fastly の PCI 準拠キャッシングまたは HIPAA 準拠キャッシング を購入している場合、Fastly は PCI Security Standards Council が定めるコンプライアンス要件を満たすために、すべての接続に TLS 1.2 以上を適用します。
デフォルトでは、Server Name Indication (SNI) 拡張機能を使用します。最新のブラウザはすべて SNI をサポートしています。SNI をサポートしていないクライアント(Windows XP や Android 2.x 以前のクライアントなど)は、TLS ハンドシェイクのエラーが発生します。
Fastly は、RSA 公開鍵暗号化のために最小鍵長 2048 ビットの信頼された認証局によって署名された SHA-256 証明書をサポートしています。パフォーマンス上の理由から、それ以上の鍵長が必要ない場合には、2048 ビットの鍵長を使用することを強くお勧めします。
Fastly TLS
Fastly TLS では、有料アカウントのお客様は、Web コントロールパネルまたは API を使用してドメインごとに TLS 証明書を管理することができます(開発者向けトライアルアカウントでは、Fastly TLS を使用することはできません)。Fastly TLS では、お客様が TLS 証明書と秘密鍵を生成してアップロードする方法と、Fastly がサードパーティの認証局を介して TLS 証明書を代わりに生成して管理する方法があります。
設定・動作
お客様所有の証明書を利用する場合、Fastly の Web コントロールパネルまたは API を使用して TLS ファイルをアップロードすることができます。証明書をアップロードする前に、対応する秘密鍵を事前にアップロードしておく必要があります。
Fastly が管理する証明書を利用する場合、証明書の発行要求を完了させるには DNS レコードを変更することで、ドメインを管理できることを証明する必要があります。Fastlyはドメインごとに1つの証明書を生成します。
デフォルトでは、Fastly は TLS 証明書を共有 IP アドレスにインストールします。クライアントのリクエストが Fastly に送信されると、TLS の SNI 拡張機能を使用して正しい証明書を選択し、クライアントが TLS ハンドシェイクリクエストでホスト名を提示できるようにします。
重要: Fastly TLS の証明書は50までに制限されています。この制限を上げる方法については、sales@fastly.com までお問い合わせください。
課金方法
Fastly TLS は、月末に TLS が有効になっている FQDN (fully qualified domain names) (例: example.com や www.example.com) とワイルドカードドメイン(例: *.example.com)の数に基づいて課金されます。
コンシェルジュTLS
コンシェルジュ TLS は、エンタープライズサポート オプションのパッケージとして販売され、TLS に特化した高度な設定サポートを提供します。コンシェルジュ TLS は、Fastly TLS のドメイン追加の制限を50から100に増やし、、エンタープライズ向けの高度な TLS サポートと設定オプションを提供します。お客様がお持ちの証明書をご利用になる場合には、Domain Validated (DV)、Organization Validated (OV)、およびExtended Validation (EV) 証明書のサポートが可能となります。
エンタープライズサポートにコンシェルジュ TLS を加える場合には、sales@fastly.com までお問い合わせください。
その他のTLSオプション
Fastly TLS の他にも、共有証明書オプションや商用認証局から調達した証明書を使用するマネージドオプションなど、いくつかの TLS オプションをご用意しています。
共有 TLS 証明書オプション
Fastly は以下の共有 TLS 証明書オプションを提供しています。
重要: CA/Browser Forum に採用された新たなセキュリティ基準により、TLS 証明書をリクエストする際にドメイン認証として利用するランダムな文字列の有効期限が28日間へと短縮されます。この変更は、共有証明書および証明書取得代行サービスを対象に、2020年5月31日から適用されます。
また、TLS1.2 向けの共有証明書の提供を2020年12月31で終了する予定です。新しい Fastly TLS のウェブインターフェイスおよび API は、共有証明書と同様の機能を提供します。当変更に関するお問い合わせは弊社のカスタマーサポートチーム fastlytlsupdates@fastly.com へご連絡ください。
Fastlyの共有ドメインを利用した無料 TLS
Fastly は無料の TLS オプションを提供しており、example.global.ssl.fastly.net のような Fastly の共有ドメインで HTTPS トラフィックを配信することができます。
このオプションを使用するには、ガイドの無料 TLS の設定の手順に従い、設定をはじめる前にの項目を確認してください。特定のトラフィックルーティング、ドメイン名や URL の要件がある場合は、Fastly の有料 TLS オプションを利用すると、より柔軟に対応できます。
共有 TLS 証明書サービス
Fastly の共有 TLS 証明書サービスでは、Fastly Subject Alternative Name (SAN) 証明書を使用して HTTPS トラフィックを配信することができます。セカンドレベルのドメインとアドレスを最大 5 つまで追加することができますが、証明書の管理は Fastly が行います。
このオプションを購入して使用するには、TLS 証明書に含まれるドメインを管理する の手順を参照してください。Fastly web コントロールパネルで追加を行うと、自動的に課金されます。共有 TLS 証明書にセカンドレベルドメインを追加するたびに、請求に追加されます。追加の際には、1ヶ月全期間利用した場合に月末に課金されます。部分的に使用した月については請求されません。
共有TLSワイルドカード証明書サービス
Fastly の共有 TLS ワイルドカード証明書サービスを使用すると、Fastly SAN 証明書を使用して HTTPS トラフィックを配信することができます。ワイルドカードドメインとアドレスを最大 5 つまで追加することができますが、証明書の管理は Fastly が行います。
このオプションを購入して使用するには、TLS 証明書に含まれるドメインを管理する の手順を参照してください。Fastly web コントロールパネルで追加を行うと、自動的に課金されます。ワイルドカードドメインを共有 TLS 証明書に追加するたびに、請求に追加されます。追加の際には、1ヶ月全期間利用した場合に月末に課金されます。部分的に使用した月については請求されません。
Dedicated IPアドレス
重要: この情報は、限定提供版 (Limited Availability) としてリリースされています。詳細については、製品と機能のライフサイクルの説明をご覧ください。
Limited availability として、Fastly は、お客様固有の DNS レコードで指定された Dedicated IP アドレス にお客様証明書をインストールすることができます。これらのDNSレコードは、3つのネットワークルーティングオプション(ネットワークマップまたはドメインマップと呼ばれることもあります)を使用するように設定することができ、Fastly ネットワークのどの部分を使用するかを選択することができます。
お客様がこのオプションの使用基準を満たしているかどうかを確認するには、sales@fastly.com までお問い合わせください。
証明書の調達、管理、ホスティング
Fastlyでは、お客様に代わって専用の TLS 証明書を購入し、管理、ホスティングするサービスを提供しています。このサービスを購入すると、以下のようになります。
- 購入した各証明書は、2,500 バイト、最大 150 の SAN エントリーをサポートします。
- 購入した証明書の上限に達した場合、Fastly はお客様に代わって同じ上限の証明書を追加購入し、管理およびホスティングを行います。
- すべての証明書は、SNI 技術を使用して提供されます。
- すべての新しい SAN エントリは、要求されたドメインの TLS 証明書のためのドメイン検証 を必要とします。
- SANエントリの追加と削除は、TLS 証明書に含まれるドメインを管理するで管理してください。
このホスティングオプションの購入にご興味のある方は、sales@fastly.com までご連絡ください。
TLS 1.3 と 0-RTT
重要: This information is part of a limited availability release. For more information, see our product and feature lifecycle descriptions.
TLS プロトコルの最新バージョンである TLS 1.3 は、HTTPS で配信されるトラフィックのパフォーマンスとセキュリティを向上させるために設計されています。2018年にインターネット技術タスクフォース(IETF)によって承認されたこのバージョンでは、以前のバージョンに比べてより強力な暗号セットが提供され、さらにセキュアな接続を確立するために必要なラウンドトリップの数が削減されています。新しいセッションではラウンドトリップが1回減り、0-RTT を有効にすると、再開された接続では、最初の ClientHello でアプリケーションのリクエストを暗号化することでレイテンシの削減を実現できます。これにより、ラウンドトリップ時間がゼロになります(0-RTT)。
制限事項と重要な動作
この機能をリクエストする前に、以下のことをご理解ください。
- TLS 1.3 は、既存の TLS サービスを利用しているお客様のみが利用できます。
- リクエストするクライアントが TLS 1.3 をサポートしている場合にのみ TLS 1.3でネゴシエートされます。
- リクエストが古いクライアントから来た場合、デフォルトの動作により TLS 1.2 にダウングレードされます。
TLS 1.3 と 0-RTT を有効にするには
TLS 1.3 を有効にするには、support@fastly.com に連絡してください。0-RTT で発行されたリクエストは、RFC 8470に従って Early-Data:1 ヘッダを含みます。この属性は VCL では req.http.early-data として確認したり、ログに記録したりすることができます。