- Assurance Services
- DDoS Protection and Mitigation Service and SLA
- Fastly product lifecycle
- Fastly’s Full-Site Delivery
- Fastly's Media Shield
- Fastly's On-the-Fly Packaging service
- Fastly’s Streaming Delivery
- HIPAA-Compliant Caching and Delivery
- Live Event Monitoring Service
- Logging Insights Package
- PCI-Compliant Caching and Delivery
- Performance Optimization Package
- Platform TLS Certificate Management Product
- Private Origin Peering
- Professional Services
- Related offerings
- Service availability SLA
- Subscriber Provided Prefix
- Summary product definitions
- Support description and SLA
- Technical Account Management
- TLS オプション
- TLS service options
- WAF Support and SLA
- WAF Tuning Package
- WAF Tuning Plus Package
Legacy offerings
- Fastly's Legacy Full-site Delivery services
- Fastly's Legacy Media Shield
- Legacy Platinum Support and SLA
- Legacy Premium Support and SLA
Third-party information
TLS オプション
Last updated April 05, 2019
Fastly Transport Layer Security (TLS) サービスは、Web サイトやアプリケーションのトラヒックを HTTPS で配信することを可能にし、サービスにプライバシーとデータセキュリティを提供します。無償の共有ドメインオプションに加えて、 いくつかの共有証明書オプション および お客様証明書のホスティングサービス をお持ちの証明書に対して提供することができます。弊社がお客様に代わって証明書を調達し、管理を実施することもできます。
注意: PCI コンプライアンスキャッシュサービス または HIPAA コンプライアンスキャッシュサービスを購入いただいたお客様に関しては、PCI Security Standards Councilが必須としているコンプライアンス要件を満たすため、Fastly は、TLS 1.2 以上のみの対応となります。
有料 TLS 証明書の注文
まだ、TLS 証明書を持っていない場合には、共有証明書を Web コントロールパネルを使って購入することができます。その他の有料 TLS 証明書オプションを購入されたい場合には、営業チーム[japan@fastly.com]までご連絡ください。
ヒント: 有料 TLS サービスの料金の詳細については、料金設定のページをご覧ください。多くのドメインを必要とする場合には営業チーム japan@fastly.com へご連絡ください。個別パッケージをご提案させていただく可能性があります。
有料 TLS 証明書の課金
共有証明書に1ドメイン(もしくはワイルドカード)を追加するごとに、注文内容に応じて請求金額が増加します。課金は1ヶ月全期間利用した場合に行われ、月の一部の期間の利用では課金されません。
例えば、1月の中旬にドメインの追加を行った場合、課金は2月分請求から実施されます(1月分請求では課金されません)。これは2月が最初の全期間利用月であり、かつ後請求であるためです。
共有証明書
Fastly は以下の共有証明書を提供しています。
共有ドメイン
この無料オプションは example.global.ssl.fastly.net のようなドメインを用いて HTTPS による配信を可能にします。このサービスを利用するには、Fastly コントロールパネルにドメインを追加し、そのためのオリジンサーバーを設定します。この設定方法の詳細については、無料 TLS の設定をご覧ください。
重要: Fastly 共有ドメインを隠すために DNS にエイリアスレコードを設定すると(例:www.example.com を example.com.global.ssl.fastly.net にエイリアス)、TLS の名前不一致の警告がブラウザにて表示されます。この警告は、証明書に記載されているドメイン名とブラウザのアドレスバーに記載されているドメイン名が不一致のために表示されます。この不一致を解消するには、有料 TLS オプションのいずれかを購入いただくことが必要です。
共有 TLS 証明書サービス
弊社共有 TLS 証明書オプションでは、Fastly の SAN 証明書を使用します。具体的な制限は次のとおりです。
- お客様は自分のドメインを使用できるようになりますが、証明書の管理は Fastly が行います。
- お客様は Fastly にドメイン名のリストを提供し、そのドメイン名を当社が証明書の SAN フィールドに追加します。
弊社パートナー証明書認証局は、共有 (SAN) 証明書を、1 つの証明書に複数のホスト名またはドメインを入れることにより、IP アドレスを節約する方法と説明しています。セキュリティへの影響はありません。証明書にお客様の名前を追加する場合も、お客様による承認が必要となります。
共有 TLS ワイルドカード証明書サービス
弊社共有 TLS ワイルドカード証明書オプションでは、Fastly の SAN 証明書を使用します。具体的な制限は次のとおりです。
- お客様は自分のドメインを使用できるようになりますが、証明書の管理は Fastly が行います。
- お客様は Fastly にドメイン名のリストを提供し、そのドメイン名を当社が証明書の SAN フィールドに追加します。
ワイルドカードによってカバーされるドメイン名については証明書に追加する必要がなくなります。例えば、 *.example.com をワイルドカード証明書として SAN フィールドに追加した場合には、Fastly に連絡することなく、 api.example.com や demo.example.com を利用することができます。
Apex ドメイン (この例では、example.com) は、個別の SAN エントリーとして追加されなければなりません(共有 TLS 証明書サービスをご覧ください)。
お客様 TLS 証明書のホスティングサービス
Fastly エッジネットワークから自身が所有する TLS 証明書を SNI (Server Name Indication) を使って配信したい場合には、お客様 TLS 証明書のホスティングサービスが利用できます。このサービスでは OV (Organization Validated) および EV (Extended Verification) の両方をサポートしています。
証明書は共有 IP アドレスにインストールされます。各証明書は TLS の SNI 拡張を使い、TLS ハンドシェイクにおいてクライアントが提示するホスト名によって選択されます。本オプションを購入することに興味があるお客様は、 japan@fastly.com へご連絡ください。
重要: 最近の全てのブラウザは SNI をサポートしています。SNI をサポートしていないクライアント(Windows XP や Android 2.x もしくはそれ以前のバージョン)では証明書エラーが表示されます。
専用 IP アドレスを利用する証明書のホスティング
重要: この機能は、限定提供版 (Limited Availability) としてリリースされています。詳細については、製品と機能のライフサイクルの説明をご覧ください。
Fastly では Limited Availability として、専用 IP アドレスにお客様 TLS 証明書をインストールすることが可能です。この場合、割り当てられた IP アドレスと証明書を関連付けるために、お客様用の DNS Global Domain マップをご提供します。本オプションの基準を満たすかを確認するために japan@fastly.com へご連絡ください。
重要: Fastly は最低でも 2048 ビットの RSA の鍵長を保有する認証局によって署名された SHA-256 証明書をサポートしています。大きな鍵長をアプリケーションで必要としないのであれば、パフォーマンスの理由から、RSA の 2048 ビットの鍵長を推奨しています。
証明書の購入、管理、ホスティングのサービス
Fastly は、御社に代わって証明書の購入、管理、ホスティングするサービスをご提案いたします。本サービスを購入されたい場合:
- 購入した各証明書は、 2,500 バイト、最大 150 個の SAN エントリーをサポートいたします。
- 購入した証明書が上限に達した場合には、 Fastly は追加で同じ制限の証明書をもう 1 個購入し、管理、ホスティングを行います。
- 全ての証明書は、 SNI の技術を利用し提供いたします。
- 新しい SAN エントリー追加する場合は、お客様に当該ドメインの ドメイン検証 を行って頂く必要がございます。
- お客様は、 SAN エントリーの追加、削除を 弊社 Web コントロールパネルを利用して管理していただけます。
本ホスティングオプションの購入することに興味があるお客様は japan@fastly.com にご連絡ください。
注意: GlobalSign が提供する証明書には、GlobalSign の利用約款に定める条件が適用されます。詳しくは https://jp.globalsign.com/repository/ をご覧ください。
TLS 1.3 と 0-RTT
重要: この機能は、限定提供版 (Limited Availability) としてリリースされています。詳細については、製品と機能のライフサイクルの説明をご覧ください。
TLS プロトコルの最新バージョンである TLS 1.3は、HTTPS での配信トラフィックのパフォーマンスとセキュリティを向上するために設計されてます。このバージョンは、Internet Engineering Task Force (IETF) で2018年に批准され、以前のバージョンに比べより強力な Cipher セットを用いたり、安全な接続を確立するためのラウンドトリップ回数の削減がされています。新規セッションではラウンドトリップ回数が1回少なくなります。0-RTT が有効化されている場合、再接続時の最初の ClientHello に暗号化されたアプリケーションリクエストを含めることで 0-TTL を実現し、接続の再開の待ち時間が短縮することが出来ます。
制限と主要な動作
この機能をご利用する前に、以下について理解してください。:
- TLS1.3は、既存の TLS サービスと専用 IP サービスをご利用のお客様のみ利用可能です。
- TLS 1.3 は このバージョンをサポートしているクライアントがリクエストをした場合にのみ接続に利用されます。
- もし古いバージョンのクライアントからリクエストが来た場合には、Fastly のでデフォルトの動作として TLS1.2 にダウングレードします。
TLS 1.3 と 0-RTT の有効化
TLS1.3を有効にしたい場合は、support@fastly.com にご連絡ください。専用 IP アドレスサービスをご利用のすべて、または一部のホストネームに対してオプションとして再接続に対する 0-RTT を有効化することが可能です。0-RTT のリクエストには、RFC 8470にある Early-Data:1 ヘッダーを含んでいます。このヘッダーは req.http.early-data を通じて VCL 内で取得したりログに含めることが可能です。