TLS オプション

      Last updated October 02, 2020

    Fastly は、Web サイトやアプリケーションがサービスのプラバシーとデーターセキュリティに必要となる HTTPS でトラフィックを配信できるようにする様々な TLS (Transport Layer Security) サービスを提供しています。Fastly から安全な HTTPS トラフィックを配信するには、Web サイトに一致する秘密鍵を持つ有効な TLS 証明書が必要です。これらの証明書は、お客様が生成してアップロードすることも、Fastly 側で代わりに作成することも可能です。

    重要な検討事項

    Let's Encrypt やその他の認証局が提供する証明書は、サードパーティーの技術です。利用者は、自分が正当な登録者であることに責任を持ち、代わりに手配された証明書に記載されているドメインを管理していることを証明する必要があります。

    GlobalSign が提供する証明書は、https://www.globalsign.com/repository に記載された GlobalSign の利用規約に従うものとします。

    Fastly の PCI 準拠キャッシングまたは HIPAA 準拠キャッシング を購入している場合、Fastly は PCI Security Standards Council が定めるコンプライアンス要件を満たすために、すべての接続に TLS 1.2 以上を適用します。

    デフォルトでは、Server Name Indication (SNI) 拡張機能を使用します。最新のブラウザはすべて SNI をサポートしています。SNI をサポートしていないクライアント(Windows XP や Android 2.x 以前のクライアントなど)は、TLS ハンドシェイクのエラーが発生します。

    Fastly は、RSA 公開鍵暗号化のために最小鍵長 2048 ビットの信頼された認証局によって署名された SHA-256 証明書をサポートしています。パフォーマンス上の理由から、それ以上の鍵長が必要ない場合には、2048 ビットの鍵長を使用することを強くお勧めします。

    Fastly TLS

    Fastly TLS では、有料アカウントのお客様は、Web コントロールパネルまたは API を使用してドメインごとに TLS 証明書を管理することができます(開発者向けトライアルアカウントでは、Fastly TLS を使用することはできません)。Fastly TLS では、お客様が TLS 証明書と秘密鍵を生成してアップロードする方法と、Fastly がサードパーティの認証局を介して TLS 証明書を代わりに生成して管理する方法があります。

    設定・動作

    お客様所有の証明書を利用する場合、Fastly の Web コントロールパネルまたは API を使用して TLS ファイルをアップロードすることができます。証明書をアップロードする前に、対応する秘密鍵を事前にアップロードしておく必要があります。

    Fastly が管理する証明書を利用する場合、証明書の発行要求を完了させるには DNS レコードを変更することで、ドメインを管理できることを証明する必要があります。Fastlyはドメインごとに1つの証明書を生成します。

    デフォルトでは、Fastly は TLS 証明書を共有 IP アドレスにインストールします。クライアントのリクエストが Fastly に送信されると、TLS の SNI 拡張機能を使用して正しい証明書を選択し、クライアントが TLS ハンドシェイクリクエストでホスト名を提示できるようにします。

    課金方法

    Fastly TLS は、月末に TLS が有効になっている FQDN (fully qualified domain names) (例: example.comwww.example.com) とワイルドカードドメイン(例: *.example.com)の数に基づいて課金されます。

    コンシェルジュTLS

    コンシェルジュ TLS は、エンタープライズサポート オプションのパッケージとして販売され、TLS に特化した高度な設定サポートを提供します。コンシェルジュ TLS は、Fastly TLS のドメイン追加の制限を50から100に増やし、、エンタープライズ向けの高度な TLS サポートと設定オプションを提供します。お客様がお持ちの証明書をご利用になる場合には、Domain Validated (DV)、Organization Validated (OV)、およびExtended Validation (EV) 証明書のサポートが可能となります。

    エンタープライズサポートにコンシェルジュ TLS を加える場合には、sales@fastly.com までお問い合わせください。

    その他のTLSオプション

    Fastly TLS の他にも、共有証明書オプションや商用認証局から調達した証明書を使用するマネージドオプションなど、いくつかの TLS オプションをご用意しています。

    Fastlyの共有ドメインを利用した無料 TLS

    Fastly は無料の TLS オプションを提供しており、example.global.ssl.fastly.net のような Fastly の共有ドメインで HTTPS トラフィックを配信することができます。

    このオプションを使用するには、ガイドの無料 TLS の設定の手順に従い、設定をはじめる前にの項目を確認してください。特定のトラフィックルーティング、ドメイン名や URL の要件がある場合は、Fastly の有料 TLS オプションを利用すると、より柔軟に対応できます。

    Dedicated IPアドレス

    Limited availability として、Fastly は、お客様固有の DNS レコードで指定された Dedicated IP アドレス にお客様証明書をインストールすることができます。これらのDNSレコードは、3つのネットワークルーティングオプション(ネットワークマップまたはドメインマップと呼ばれることもあります)を使用するように設定することができ、Fastly ネットワークのどの部分を使用するかを選択することができます。

    お客様がこのオプションの使用基準を満たしているかどうかを確認するには、sales@fastly.com までお問い合わせください。

    証明書の調達、管理、ホスティング

    Fastlyでは、お客様に代わって専用の TLS 証明書を購入し、管理、ホスティングするサービスを提供しています。このサービスを購入すると、以下のようになります。

    このホスティングオプションの購入にご興味のある方は、sales@fastly.com までご連絡ください。

    Back to Top

    Additional resources: