暗号スイート
Cipher suites are a combination of ciphers used to negotiate security settings during the SSL/TLS handshake ↗ (and therefore separate from the SSL/TLS protocol).
このセクションでは、クライアント(訪問者のブラウザなど)とCloudflareネットワーク間で使用される暗号スイートについて説明します。Cloudflareとオリジンサーバー間で使用される暗号スイートに関する情報は、オリジンサーバー > 暗号スイートを参照してください。
Cloudflareのすべてのドメイン/ゾーンに対してデフォルトで使用される暗号スイートは、セキュリティと互換性のバランスを取ることを目的としていますが、第三者のテストツール(Qualys SSL Labsテストなど)によって弱いと見なされる場合があります。
デフォルトオプション(レガシー)がビジネス要件を満たさない場合は、Advanced Certificate Managerアドオンを購入 ↗して、より安全な暗号スイートを指定する ↗ことができます。
カスタム暗号スイートはホスト名レベルの設定です。一度指定されると、その設定はホスト名に接続するために使用されるすべてのエッジ証明書に適用されます。証明書の種類(ユニバーサル、アドバンスド、またはカスタム)に関係なく適用されます。
暗号スイートは独立して構成されますが、他のSSL/TLS設定と相互作用します。
クライアントがあなたのウェブサイトやアプリケーションに接続するために必要な最小TLSバージョンを指定できます。
たとえば、最小TLSバージョンとしてTLS 1.1が選択されている場合、TLS 1.0を使用して接続しようとする訪問者は拒否され、TLS 1.1、1.2、または1.3(有効な場合)を使用して接続しようとする訪問者は許可されます。
各暗号スイートは、それがサポートする特定の最小プロトコルに関連しています。これは、暗号スイートにより高いセキュリティレベルを使用し、TLS 1.0のサポートを停止する場合、最小TLSバージョンもそれに応じて調整する必要があることを意味します。
コンプライアンス基準により、ウェブサイトやアプリケーションへの接続で受け入れられる最小TLSバージョンを引き上げる必要がある場合もあります。
You cannot set specific TLS 1.3 ciphers. Instead, you can enable TLS 1.3 for your entire zone and Cloudflare will use all applicable TLS 1.3 cipher suites.
In combination with this, you can still disable weak cipher suites for TLS 1.0-1.2.
Cloudflare Pagesのホスト名に対して暗号スイートを構成することはできません。