CloudflareがサポートしているTLS暗号とプロトコルについてCloudflare SSL証明書がサポートするブラウザはどれか、そしてどの中間証明書とルート証明書がCloudflare証明書に署名するのに使用されるかを説明します。
Cloudflare TLS/SSL 暗号サポート
トラフィック暗号化はWebサイト訪問者とCloudflareの間、CloudflareとオリジンWebサーバーとの間のどちらかで発生し、Cloudflareは次の点を区別します。
CloudflareがサポートするオリジンWebサーバー TLS/SSL暗号
Cloudflare SSL/TLSアプリの「概要」タブで特定されているSSL/TLS 暗号化モードに応じて、CloudflareはHTTPまたはHTTPSのどちらかで、オリジンWebサーバーに接続します。以下は、オリジンWebサーバーがHTTPSで接続される場合に、TLS 1.3、TLS 1.2、それ以前のTSLバージョンでCloudflareがサポートするオリジンサーバー SSL暗号化のリストです。
TLS 1.2 とそれ以前の TLS バージョン:
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA
- AES128-GCM-SHA256
- AES128-SHA
- ECDHE-RSA-AES256-SHA384
- AES256-SHA
- DES-CBC3-SHA
TLS 1.3:
暗号スイート名(IANA) | 暗号スイート (8進数値) |
TLS_AES_128_GCM_SHA256 | {0x13,0x01} |
TLS_AES_256_GCM_SHA384 | {0x13,0x02} |
TLS_CHACHA20_POLY1305_SHA256 | {0x13,0x03} |
Cloudflare TLS/SSL 暗号
クライアントブラウザとWebサーバーの両方の設定でSSL証明書ではなく、使用する暗号スイートが決まります。ブラウザがHTTPS接続を開始する時、サポートする暗号スイートのリストが送信されます。そして、Webサーバーは使用する暗号スイートを一つ選択します。
現在、Cloudflareは、AES128を使用した接続をネゴシエートすることを希望します。AES256を使用するには、クライアントブラウザが256 bit暗号スイートを使用しなければなりません。当社の環境設定ではAES128を使用していますが、今後変更されるかもしれません。
以下は、TLS 1.3とTLS 1.2以前を有料プランをご利用のお客様のためにCloudflareがサポートするSSL暗号の一覧です。
OpenSSL 名 | TLS 1.0 | TLS 1.1 | TLS 1.2 | TLS 1.3 |
ECDHE-ECDSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-CHACHA20-POLY1305 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES128-SHA | ✅ | ✅ | ✅ | ❌ |
AES128-GCM-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES128-SHA | ✅ | ✅ | ✅ | ❌ |
ECDHE-ECDSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-ECDSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA384 | ❌ | ❌ | ✅ | ❌ |
ECDHE-RSA-AES256-SHA | ✅ | ✅ | ✅ | ❌ |
AES256-GCM-SHA384 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA256 | ❌ | ❌ | ✅ | ❌ |
AES256-SHA | ✅ | ✅ | ✅ | ❌ |
DES-CBC3-SHA | ✅ | ❌ | ❌ | ❌ |
AEAD-AES128-GCM-SHA256 | ❌ | ❌ | ❌ | ✅ |
AEAD-AES256-GCM-SHA384 | ❌ | ❌ | ❌ | ✅ |
AEAD-CHACHA20-POLY1305-SHA256 | ❌ | ❌ | ❌ | ✅ |
CloudflareのSSL設定の最新情報については、当社のSSL設定の公開レポジトリをご覧ください。
Cloudflare TLS/SSLプロトコルサポート
Cloudflareは、 訪問者とCloudflare間のSSL接続を確立するために、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3しか使用しません。
TLS 1.2は、2008年業界水準となりました。Payment Cards Industry Security Standards Council (PCI SSC)と米国の国立標準技術研究所 (NIST)の両者が、Webのセキュリティを強化するTLS 1.2を指示しています。
Cloudflare TLS/SSL ブラウザサポート
Cloudflareは、無料プランより有料プランで追加のSSL証明書を展開します。これにより、有料プランでの旧型デバイスのサポートが可能になります。ご利用中の現行ブラウザがどのSSLプロコルと暗号をサポートしているのかについての詳細情報は、こちらhttps://www.ssllabs.com/ssltest/viewMyClient.htmlをご覧ください。
有料のCloudflareプランでドメインのサポートをしている最新ブラウザ
Cloudflare SSL証明書は、Subject Alternative Names(サブジェクトの別名;SAN)拡張子を活用し、同じSSL証明書で複数のドメインをサポートします。さらに、専用証明書とUniversal SSL証明書は、サーバー名表示(SNI)証明書を楕円曲線DSA(ECDSA)と一緒に使用します。Cloudflare Supportが、Universal 証明書、専用証明書、カスタム証明書、またはカスタムホスト名証明書について、Proプラン、Businessプラン、またはEnterpriseプランのドメインに対する非SNIのサポートを有効にすることができます。SNI証明書とECDSA証明書は、次の最新ブラウザで動作します。
Windows Vista、OS X 10.6以降にインストールされたデスクトップブラウザ:
- Internet Explorer 7
- Firefox 2
- Opera 8 (TLS 1.1 有効)
- Google Chrome v5.0.342.0
- Safari 2.1
モバイルブラウザ:
- iOS 4.0用のMobile Safari
- Android 3.0 (Honeycomb) 以降
- Windows Phone 7
無料のCloudflareドメインにおける最新ブラウザサポート
無料プランでCloudflareドメインに提供されるSSL証明書が少ないため、無料ドメインのSSLブラウザサポートはわずかに新し目のブラウザに限定されます。
最小限のサポートを受けるデスクトップブラウザ:
- Firefox 2
- Windows VistaのInternet Explorer 7
- 以下のWindows VistaまたはOS X 10.6:
- Chrome 5.0.342.0
- Opera 14
- Safari 4
最小限のサポートを受けるモバイルブラウザ:
- iOS 4.0のMobile Safari
- Android 4.0 ("Ice Cream Sandwich")
- Windows Phone 7
Cloudflare証明書に署名するために使用される SSL 中間証明書とルート証明書
DigicertがUniversal SSL, 専用SSL、SaasのSSL証明書を発行します。
Sectigo
以下のCloudflare証明書に署名するルート証明書と中雨間証明書の詳細については、折り畳められたコンテンツを拡張するときにクリックします。
レベル | コモンネーム(一般名) | シリアル番号 | SHA-1 フィンガープリント | ダウンロード |
ルート | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
中間 1 | Sectigo ECC Certification Authority | 4352023FFAA8901F139FE3F4E5C1444E | AE223CBF20191B40D7FFB4EA5701B65FDC68A1CA | |
中間 2 | Sectigo ECC Domain Validation Secure Server CA 2 | 5B25CE6907C4265566D3390C99A954AD | 75CFD9BC5CEFA104ECC1082D77E63392CCBA5291 |
レベル | コモンネーム(一般名) | シリアル番号 | SHA-1 フィンガープリント | ダウンロード |
ルート | AddTrust External CA Root | 1 | 02FAF3E291435468607857694DF5E45B68851868 | |
中間 1 | Sectigo RSA Certification Authority | 2766EE56EB49F38EABD770A2FC84DE22 | F5AD0BCC1AD56CD150725B1C866C30AD92EF21B0 | |
中間 2 | Sectigo RSA Domain Validation Secure Server CA 2 | 0BA2D01DCBCB7776E8AC65097AC12541 | 0BC249478F120F146D5714970A088A3A30C9ED07 |
Digicert
以下のCloudflare証明書に署名するルート証明書と中雨間証明書の詳細については、折り畳められたコンテンツを拡張するときにクリックします。
レベル | コモンネーム(一般名) | シリアル番号 | SHA-1 フィンガープリント | ダウンロード |
ルート | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
中間 | CloudFlare Inc ECC CA-2 | 0FF3E61639AA3D1A1265F41F8B34E5B6 | 6B53C3B358CEF368201F8741B9C5AEDEEA3861FA |
レベル | コモンネーム(一般名) | シリアル番号 | SHA-1 フィンガープリント | ダウンロード |
ルート | Baltimore CyberTrust Root | 33554617 | D4DE20D05E66FC53FE1A50882C78DB2852CAE474 | |
中間 | CloudFlare Inc RSA CA-1 | 060DD6C1D067901B5475FCFFC29E3137 | 2AA2B8A223DA08798599B54DE4121757ABA33341 |