Flex Gateway新着情報
Governance新着情報
Monitoring API ManagerTLS コンテキストを設定すると、選択した TLS バージョンに基づいてデフォルトの暗号化が適用されます。デフォルトを使用しない場合は、設定されたキーストアと一致する暗号化を選択し、TLS が接続をセットアップできるようにします。
RSA キー (最も一般的な種別) があるキーストアの場合、文字列 RSA
を含む暗号化を選択する。
ECC 暗号化を使用している場合、文字列 ECDSA
を含む暗号化を選択する。
詳細は、TLS の規格とドキュメントを参照してください。
クライアントデバイスが AES 専用 CPU 命令をサポートしている場合、AES-GCM 暗号化を使用する。
クライアントが AES 専用命令 (一部のモバイルおよび IoT デバイス) をサポートしていない場合、クライアントは CHACHA20-POLY1305
を使用するようにネゴシエートします。CHACHA を実行するには、2 つ (クライアントとサーバー) が必要になります。
TLS 1.3 サポートは、Anypoint Security の対象を使用している場合にのみ可能です。
TLS 1.3 の暗号化スイートは TLS 1.2 および TLS 1.1 の暗号化スイートと共にリストされ、[No known vulnerabilities and support Perfect Forward Secrecy (既知の脆弱性はなく、Perfect Forward Secrecy をサポート)] グループに表示されます。文字列 TLS
で始まる暗号化スイートを使用する場合、次の点に留意してください。
TLS 1.3 の新しい暗号化スイートは、TLS 1.1 および TLS 1.2 では使用できない。
TLS 1.2 および TLS 1.1 の暗号化スイートは、TLS 1.3 では使用できない。
TLS 1.3 の新しい暗号化スイートは以前のバージョンの TLS の暗号化スイートとは異なる方法で定義されており、証明書種別 (RSA、DSA、ECDSA など) またはキーエクスチェンジメカニズム (DHE または ECHDE など) を指定しない。
デフォルトに加えて、選択した TLS バージョンで使用する他の暗号化を選択できます。各 TLS コンテキストに複数の暗号化を含めることができます。
[Ciphers (暗号化)] をクリックして使用可能な暗号化を選択します。
[TLS Version (TLS バージョン)] の値に [TLS 1.3] を選択した場合、デフォルトの選択のままにします。これには 3 つすべての TLS 暗号化スイートが含まれます。
TLS コンテキストの [Target (対象)] の値に [Mule] を選択した場合、プロキシインスタンスで使用するカスタム暗号化を定義できます。
[Save (保存)] をクリックします。
Java ランタイムでサポートされていない暗号化を追加すると、警告が表示されますが、これにより TLS コンテキストの保存が妨げられることはありません。
TLS 1.3 プロトコルをサポートするクライアントでは、このプロトコルがデフォルトで有効になります。
OpenSSL 1.1.1 と TLS 1.3 は、TLS 1.2 と比較してセキュリティとパフォーマンスが改善されています。
TLS 1.2 の接続パフォーマンススループットは、OpenSSL 1.0.2 で実行される以前の Runtime Fabric 内部ロードバランサーと比較して 2 倍以上強化されています。
フルハンドシェイクが 1 往復減っています。
TLS 1.2 および TLS 1.3 ChaCha20-Poly1305 暗号化が追加され、モバイルおよび IoT デバイスのサポートが改善されています。
ダウングレード攻撃を防ぎます。
RSA キーと ECDSA キーの両方が引き続きサポートされます。
TLS 1.2 および TLS 1.1 の安全でない不用な機能が削除されています。
サポートされている暗号化と非推奨の暗号化のリストについては、「Anypoint Security Edge リリースノート」を参照してください。