暗号化スイート

TLS コンテキストを設定すると、選択した TLS バージョンに基づいてデフォルトの暗号化が適用されます。デフォルトを使用しない場合は、設定されたキーストアと一致する暗号化を選択し、TLS が接続をセットアップできるようにします。

  • RSA キー (最も一般的な種別) があるキーストアの場合、文字列 ​RSA​ を含む暗号化を選択する。

  • ECC 暗号化を使用している場合、文字列 ​ECDSA​ を含む暗号化を選択する。
    詳細は、TLS の規格とドキュメントを参照してください。

  • クライアントデバイスが AES 専用 CPU 命令をサポートしている場合、AES-GCM 暗号化を使用する。
    クライアントが AES 専用命令 (一部のモバイルおよび IoT デバイス) をサポートしていない場合、クライアントは ​CHACHA20-POLY1305​ を使用するようにネゴシエートします。CHACHA を実行するには、2 つ (クライアントとサーバー) が必要になります。

TLS 1.3 暗号化スイート

TLS 1.3 サポートは、​Anypoint Security​ の対象を使用している場合にのみ可能です。

TLS 1.3 の暗号化スイートは TLS 1.2 および TLS 1.1 の暗号化スイートと共にリストされ、​[No known vulnerabilities and support Perfect Forward Secrecy (既知の脆弱性はなく、Perfect Forward Secrecy をサポート)]​ グループに表示されます。文字列 ​TLS​ で始まる暗号化スイートを使用する場合、次の点に留意してください。

  • TLS 1.3 の新しい暗号化スイートは、TLS 1.1 および TLS 1.2 では使用できない。

  • TLS 1.2 および TLS 1.1 の暗号化スイートは、TLS 1.3 では使用できない。

  • TLS 1.3 の新しい暗号化スイートは以前のバージョンの TLS の暗号化スイートとは異なる方法で定義されており、証明書種別 (RSA、DSA、ECDSA など) またはキーエクスチェンジメカニズム (DHE または ECHDE など) を指定しない。

暗号化の選択

デフォルトに加えて、選択した TLS バージョンで使用する他の暗号化を選択できます。各 TLS コンテキストに複数の暗号化を含めることができます。

  1. [Ciphers (暗号化)]​ をクリックして使用可能な暗号化を選択します。
    [TLS Version (TLS バージョン)]​ の値に ​[TLS 1.3]​ を選択した場合、デフォルトの選択のままにします。これには 3 つすべての TLS 暗号化スイートが含まれます。

  2. TLS コンテキストの ​[Target (対象)]​ の値に ​[Mule]​ を選択した場合、プロキシインスタンスで使用するカスタム暗号化を定義できます。

  3. [Save (保存)]​ をクリックします。

Java ランタイムでサポートされていない暗号化を追加すると、警告が表示されますが、これにより TLS コンテキストの保存が妨げられることはありません。

Anypoint Runtime Fabric での TLS サポート

TLS 1.3 プロトコルをサポートするクライアントでは、このプロトコルがデフォルトで有効になります。

OpenSSL 1.1.1 と TLS 1.3 は、TLS 1.2 と比較してセキュリティとパフォーマンスが改善されています。

  • TLS 1.2 の接続パフォーマンススループットは、OpenSSL 1.0.2 で実行される以前の Runtime Fabric 内部ロードバランサーと比較して 2 倍以上強化されています。

  • フルハンドシェイクが 1 往復減っています。

  • TLS 1.2 および TLS 1.3 ChaCha20-Poly1305 暗号化が追加され、モバイルおよび IoT デバイスのサポートが改善されています。

  • ダウングレード攻撃を防ぎます。

  • RSA キーと ECDSA キーの両方が引き続きサポートされます。

  • TLS 1.2 および TLS 1.1 の安全でない不用な機能が削除されています。
    サポートされている暗号化と非推奨の暗号化のリストについては、​「Anypoint Security Edge リリースノート」​を参照してください。