暗号化スイート
TLS コンテキストを設定すると、選択した TLS バージョンに基づいてデフォルトの暗号化が適用されます。デフォルトを使用しない場合は、設定されたキーストアと一致する暗号化を選択し、TLS が接続をセットアップできるようにします。
-
RSA キー (最も一般的な種別) があるキーストアの場合、文字列
RSA を含む暗号化を選択する。 -
ECC 暗号化を使用している場合、文字列
ECDSA を含む暗号化を選択する。
詳細は、TLS の規格とドキュメントを参照してください。 -
クライアントデバイスが AES 専用 CPU 命令をサポートしている場合、AES-GCM 暗号化を使用する。
クライアントが AES 専用命令 (一部のモバイルおよび IoT デバイス) をサポートしていない場合、クライアントは CHACHA20-POLY1305 を使用するようにネゴシエートします。CHACHA を実行するには、2 つ (クライアントとサーバー) が必要になります。
TLS 1.3 暗号化スイート
TLS 1.3 サポートは、Anypoint Security の対象を使用している場合にのみ可能です。
TLS 1.3 の暗号化スイートは TLS 1.2 および TLS 1.1 の暗号化スイートと共にリストされ、[No known vulnerabilities and support Perfect Forward Secrecy (既知の脆弱性はなく、Perfect Forward Secrecy をサポート)] グループに表示されます。文字列 TLS で始まる暗号化スイートを使用する場合、次の点に留意してください。
-
TLS 1.3 の新しい暗号化スイートは、TLS 1.1 および TLS 1.2 では使用できない。
-
TLS 1.2 および TLS 1.1 の暗号化スイートは、TLS 1.3 では使用できない。
-
TLS 1.3 の新しい暗号化スイートは以前のバージョンの TLS の暗号化スイートとは異なる方法で定義されており、証明書種別 (RSA、DSA、ECDSA など) またはキーエクスチェンジメカニズム (DHE または ECHDE など) を指定しない。
暗号化の選択
デフォルトに加えて、選択した TLS バージョンで使用する他の暗号化を選択できます。各 TLS コンテキストに複数の暗号化を含めることができます。
-
[Ciphers (暗号化)] をクリックして使用可能な暗号化を選択します。
[TLS Version (TLS バージョン)] の値に [TLS 1.3] を選択した場合、デフォルトの選択のままにします。これには 3 つすべての TLS 暗号化スイートが含まれます。 -
TLS コンテキストの [Target (対象)] の値に [Mule] を選択した場合、プロキシインスタンスで使用するカスタム暗号化を定義できます。
-
[Save (保存)] をクリックします。
Java ランタイムでサポートされていない暗号化を追加すると、警告が表示されますが、これにより TLS コンテキストの保存が妨げられることはありません。
Anypoint Runtime Fabric での TLS サポート
TLS 1.3 プロトコルをサポートするクライアントでは、このプロトコルがデフォルトで有効になります。
OpenSSL 1.1.1 と TLS 1.3 は、TLS 1.2 と比較してセキュリティとパフォーマンスが改善されています。
-
TLS 1.2 の接続パフォーマンススループットは、OpenSSL 1.0.2 で実行される以前の Runtime Fabric 内部ロードバランサーと比較して 2 倍以上強化されています。
-
フルハンドシェイクが 1 往復減っています。
-
TLS 1.2 および TLS 1.3 ChaCha20-Poly1305 暗号化が追加され、モバイルおよび IoT デバイスのサポートが改善されています。
-
ダウングレード攻撃を防ぎます。
-
RSA キーと ECDSA キーの両方が引き続きサポートされます。
-
TLS 1.2 および TLS 1.1 の安全でない不用な機能が削除されています。
サポートされている暗号化と非推奨の暗号化のリストについては、「Anypoint Security Edge リリースノート」を参照してください。