TLS 1.3によって、どのように以前のTLSバージョンからセキュリティとレイテンシーを向上するかをご理解ください。CloudflareドメインにTLS 1.3を有効化する方法を説明します。
概要
TLS 1.3はTLSプロトコルの最新かつ最も安全なバージョンです。旧バージョンのレイテンシーを改善し、新しい機能も加わりました。TLS 1.3は、現在Chrome(66リリース以降)とFirefox (60リリース以降)でサポートされており、SafariとEdgeブラウザに関しては開発中です。
TLS 1.3を有効化
Cloudflare SSL/TLS{12}アプリの「Edge証明書」タブにあるTLS1.3セクション でTLS 1.3を(0-RTTの有無にかかわらず)有効化します。
0-RTTは、あなたのWebサイトに以前接続していたクライアントのパフォーマンスを向上させる機能です。TLS接続が完全に確立される前に送信されたクライアントの最初のリクエストで、接続時間の短縮につながります。
攻撃者にとって、0-RTTと送信した最初のリクエストを再現することは可能なことです。これは、Cloudflareがオリジンに同じリクエストを複数回送信することと同じになるかもしれません。リクエストがいつ再現されたかを識別するために、CloudflareはEarly-Dataという名前の新しいヘッダーを0-RTTで送信されたリクエスト全てに含めています。この場合、ヘッダーの値は1になります。このヘッダーを使うと、0-RTT接続フェーズ中に送信された特定のリクエストを受け入れるかどうか決定することができます。
ChromeブラウザでTLS1.3を有効化するには:
- アドレスバーで、chrome://flags を入力し、入力(Enter)を押します。
- スクロールして、TLS 1.3エントリを見つけ、有効化するに設定します。次回Chromeを再起動した時に、この変更が有効になるというメッセージが表示されます。
- 今すぐ起動するをクリックして、Chromeを再起動します。
TLS 1.3を有効化したら、HTTPSで有効化されたTLS1.3でサイトにアクセスします。次に、
- Chromeのデベロッパーツールを開けます。
- 「セキュリティ」タブをクリックします。
- ページを再読み込みします(Mac OSではCommand-R、WindowsではCtrl-R)。
- 「メインオリジン」で、サイトをクリックします。
- 「接続」の右側タブで、TLS1.3がプロトコルとして一覧化されていることを確認します(下のイメージを参照)。
Firefoxの場合:
- アドレスバーで、「about:config」を入力し、保証警告を受け入れるためにクリックします。
- security.tls.version.maxを検索し、デフォルト値を3から4に設定します。
TLS 1.3を有効化したら、HTTPSで有効化されたTLS1.3でサイトにアクセスします。次に、
- アドレスバーの緑色のロックアイコンをクリックし、次に >をクリックします。
- 詳細情報をクリックします。
- 「テクニカルな詳細」で、TLSバージョンがTLS 1.3になっていることを確認します(下のイメージを参照)。
TLS 1.3の実装は比較的新しいので、障害が発生することがあるかもしれません。 エラーが発生した場合は、Cloudfareサポートチケットを以下の情報とともに提出してください。
- (可能であれば)問題を再現するための手順
- クライアントビルドのバージョン
- クライアントの診断情報
- パケットキャプチャ
Chromeユーザーは、Googleにnet-internals トレースを送信しなければなりません。Firefoxユーザーは、Mozillaにバグ報告をしなければなりません。
関連リソース
TLS 1.3が取得できました!TLS 1.3が取得できました!誰でもTLS 1.3が取得できます!