TLS オプション

最終更新日 2024-04-18

Fastly は、Web サイトやアプリケーションがサービスのプラバシーとデーターセキュリティに必要となる HTTPS でトラフィックを配信できるようにする様々な TLS (Transport Layer Security) サービスを提供しています。Fastly から安全な HTTPS トラフィックを配信するには、Web サイトに一致する秘密鍵を持つ有効な TLS 証明書が必要です。これらの証明書は、お客様が生成してアップロードすることも、Fastly 側で代わりに作成することも可能です。

ヒント

Fastly の pricing ページは、当社の TLS サービスの現在の料金の詳細を記載しています。

重要な検討事項

Let's Encrypt やその他の認証局が提供する証明書は、サードパーティーの技術です。利用者は、自分が正当な登録者であることに責任を持ち、代わりに手配された証明書に記載されているドメインを管理していることを証明する必要があります。

GlobalSign が提供する証明書は、https://www.globalsign.com/repository に記載された GlobalSign の利用規約に従うものとします。

Fastly の PCI 準拠キャッシングまたは HIPAA 準拠キャッシングを購入している場合、Fastly は PCI Security Standards Council が定めるコンプライアンス要件を満たすために、すべての接続に TLS 1.2 以上を適用します。

デフォルトでは、Server Name Indication (SNI) 拡張機能を使用します。最新のブラウザはすべて SNI をサポートしています。SNI をサポートしていないクライアント（Windows XP や Android 2.x 以前のクライアントなど）は、TLS ハンドシェイクのエラーが発生します。

Fastly は、RSA 公開鍵暗号化のために最小鍵長 2048 ビットの信頼された認証局によって署名された SHA-256 証明書をサポートしています。パフォーマンス上の理由から、それ以上の鍵長が必要ない場合には、2048 ビットの鍵長を使用することを強くお勧めします。

Fastly TLS

Fastly TLS では、有料アカウントのお客様は、Web コントロールパネルまたは API を使用してドメインごとに TLS 証明書を管理することができます（開発者向けトライアルアカウントでは、Fastly TLS を使用することはできません）。Fastly TLS では、お客様が TLS 証明書と秘密鍵を生成してアップロードする方法と、Fastly がサードパーティの認証局を介して TLS 証明書を代わりに生成して管理する方法があります。

設定・動作

お客様所有の証明書を利用する場合、Fastly の Web コントロールパネルまたは API を使用して TLS ファイルをアップロードすることができます。証明書をアップロードする前に、対応する秘密鍵を事前にアップロードしておく必要があります。

Fastly が管理する証明書を利用する場合、証明書の発行要求を完了させるには DNS レコードを変更することで、ドメインを管理できることを証明する必要があります。Fastlyはドメインごとに1つの証明書を生成します。

デフォルトでは、Fastly は TLS 証明書を共有 IP アドレスにインストールします。クライアントのリクエストが Fastly に送信されると、TLS の SNI 拡張機能を使用して正しい証明書を選択し、クライアントが TLS ハンドシェイクリクエストでホスト名を提示できるようにします。

重要

Fastly TLS の証明書は50までに制限されています。この制限を上げる方法については、sales@fastly.com までお問い合わせください。

課金方法

Fastly TLS は、月末に TLS が有効になっている FQDN (fully qualified domain names) (例: example.com や www.example.com) とワイルドカードドメイン(例: *.example.com)の数に基づいて課金されます。

コンシェルジュTLS

コンシェルジュ TLS は、エンタープライズサポートオプションのパッケージとして販売され、TLS に特化した高度な設定サポートを提供します。コンシェルジュ TLS は、Fastly TLS のドメイン追加の制限を50から100に増やし、エンタープライズ向けの高度な TLS サポートと設定オプションを提供します。お客様がお持ちの証明書をご利用になる場合には、Domain Validated (DV)、Organization Validated (OV)、およびExtended Validation (EV) 証明書のサポートが可能となります。

エンタープライズサポートにコンシェルジュ TLS を加える場合には、sales@fastly.com までお問い合わせください。

Dedicated IPアドレス

Fastly は、お客様固有の DNS レコードで指定された Dedicated IP アドレスにお客様証明書をインストールすることができます。これらのDNSレコードは、3つのネットワークルーティングオプション（ネットワークマップまたはドメインマップと呼ばれることもあります）を使用するように設定することができ、Fastly ネットワークのどの部分を使用するかを選択することができます。

お客様がこのオプションの使用基準を満たしているかどうかを確認するには、sales@fastly.com までお問い合わせください。

翻訳についての注意事項

Network services

Security

Compute

Quick start

Building blocks

Integrations

Tutorials

Demos

Use Cases

Code Examples

Starter Kits