TLS管理

相互TLS (mTLS) ↗は、サーバーとクライアントの証明書を検証することによって、アプリケーション接続に追加の保護層を追加します。SaaSアプリケーションを構築する際には、支払い処理、データベースの更新などに関連する機密エンドポイントを保護するためにmTLSを強制することを検討するかもしれません。

最小TLSバージョンでは、カスタムホスト名ごとに暗号標準を選択できます。Cloudflareは、Payment Card Industry (PCI) Security Standards Councilに準拠するためにTLS 1.2を推奨しています。

暗号スイートは、SSL/TLSハンドシェイク ↗中にセキュリティ設定を交渉するために使用される暗号の組み合わせです。SaaSプロバイダーとして、ゾーン全体の暗号スイートの設定を指定することや、APIを介して個々のカスタムホスト名の暗号スイートを指定することができます。

mTLSを有効にする

カスタムホスト名を追加したら、Cloudflare Accessを使用してmTLSを有効にできます。Cloudflare Zero Trust ↗に移動し、数回のクリックでmTLS認証を追加します。

ノート

現在、API Shieldを使用してカスタムホスト名にmTLSポリシーを追加することはできません。

最小TLSバージョンを有効にする

1. Cloudflareダッシュボード ↗にログインし、アカウントとウェブサイトに移動します。

2. SSL/TLS > カスタムホスト名を選択します。

3. 最小TLSバージョンを適用したいホスト名を見つけ、編集を選択します。

4. 最小TLSバージョンの下で希望するTLSバージョンを選択し、保存をクリックします。

ノート

TLS 1.3は最新かつ最も安全なバージョンですが、一部の古いデバイスではサポートされていません。使用するバージョンを決定する際のCloudflareの推奨事項 ↗を参照してください。

暗号スイート

セキュリティおよび規制上の理由から、特定の暗号スイートからの接続のみを許可したい場合があります。Cloudflareは推奨値と完全な暗号スイートのリファレンスを暗号スイートのドキュメントで提供しています。

ゾーンの暗号スイートを制限する

ゾーン設定の編集を参照し、URIパスで設定名としてciphersを使用します。

カスタムホスト名の暗号スイートを制限する

カスタムホスト名のSSLプロパティを参照してください。

リクエストを行う際に、 make sure to include type and method within the ssl object, as well as the settings specifications.

相互TLS証明書のアラート

相互TLS証明書が期限切れになる前に通知を受け取るためのアラートを設定できます。

Access mTLS Certificate Expiration Alert

Who is it for?

Access customers that use client certificates for mutual TLS authentication. This notification will be sent 30 and 14 days before the expiration of the certificate.

Other options / filters

None.

Included with

Purchase of Access and/or Cloudflare for SaaS.

What should you do if you receive one?

Upload a renewed certificate.

Refer to Cloudflare Notifications for more information on how to set up an alert.