FXC Kempチームでございます。
このブログはKemp Technologies社のADC製品シリーズであるLoadMasterの国内普及を目的として、対応する機能や設定に関する技術情報などを主に配信します。今回はTLS1.3を題材に、Kemp LoadMasterが安全性の高いWebサイト運用に貢献できる旨を紹介したいと思います。
【TLS1.3とは】
2018年8月、IETF(The Internet Engineering Task Force)がRFCとして公開したSSL/TLSプロトコルの最新版となります。
Kemp LoadMasterは比較的新しいこのプロトコルに、いち早く対応しております。
【Kemp LoadMasterでの設定】
上記のようにWUI画面から設定が可能です。
※SSLオフロード設定の有効化やサーバ証明書などのインストールが事前に行われていることを前提としています。
上記設定に関しては以下リンクを参照いただくか、弊社までお問い合わせください。
https://support.kemptechnologies.com/hc/en-us/articles/213906303-Web-User-Interface-WUI-#MadCap_TOC_17_2
※Rest APIを用い設定変更を行うことも可能です。
加えて、SSL/TLS関連の設定で重要になる暗号スイート(Cipher Suite)の設定に関しては、Kemp社から提供されるテンプレート(Cipher Setと呼ばれます)を活用することができます。今回はKemp社推奨設定である"Best Practice"というテンプレートを使用しています。
この場合、TLS1.3での表記で言えば以下の暗号スイートが選択されていることになります。
- AES256-GCM-SHA384
- AES256-SHA384
- AES128-GCM-SHA256
- AES256-SHA
- AES256-SHA256
上記のように推奨設定を即座に反映することが可能です。
もちろんユーザ自身が選択した暗号スイートのみを設定することも可能です。
【SSL LABでの確認】
サイトのSSL/TLS脆弱性診断方法としてSSL Labsというサイトで確認する方法があります。
このサイトでの診断を用いて、Kemp LoadMaster & TLS1.3有効化によりどのような効果があるか確認したいと思います。
--主な前提条件
- LoadMaster FWバージョン: 7.2.50
- TLS 1.2, 1.3: 有効
- 暗号スイート: 前述
- サーバ証明書 署名アルゴリズム: sha256RSA
- その他設定: OCSP Stapling無効、HSTP(HTTP Strict Transport Security)有効、など
ここでSSL Labsにおいて評価ポイントになっている要素を紹介します。
- TLS 1.3
以下の緑で表示される要素は、SSL Labsにて推奨される設定がなされていることを示しますが、赤枠のようにTLS1.3が問題なく設定できていることがわかります。
なお、評価は最高のA+となっています。
Forward Secrecy(前方秘匿性)
これは安全な鍵交換アルゴリズムが使用されていることを意味します。つまり鍵が漏洩しても攻撃者は過去にさかのぼり暗号文を復号化することはできません。
TLS1.3はこの性質をもったアルゴリズムのみを使用するため、
TLS1.3設定により、Forward Secrecyの項目は自動的に担保されます。
【まとめ】
このようにKemp LoadMasterでTLS1.3を設定することにより、サイトを安全にすることができます。
またTLS1.3にはほかにもメリットがございます。
興味のある方はIPAが発表しているTLS暗号設定ガイドライン等もご覧の上、
Kemp LoadMasterご利用を検討いただければ幸いです。
参考:独立行政法人情報処理推進機構
TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)
FXC Kempチーム
エンジニア
