最小TLSバージョン
最小TLSバージョンは、選択したTLSプロトコルバージョン以上をサポートする訪問者からのHTTPS接続のみを許可します。
例えば、TLS 1.1が選択されている場合、TLS 1.0を使用して接続しようとする訪問者は拒否されます。TLS 1.1、1.2、または1.3(有効な場合)を使用して接続しようとする訪問者は接続が許可されます。
| Free | Pro | Business | Enterprise | |
|---|---|---|---|---|
Availability | Yes | Yes | Yes | Yes |
Cloudflare Pagesのホスト名に対して最小TLSバージョンを設定することはできません。
より高い最小TLSバージョンを選択することで、TLS 1.0を無効にすることができます。
すべてのユーザーは、ゾーンレベルの手順に従って、自分のゾーン内のすべてのホスト名にこの設定を適用できます。
Advanced Certificate Managerのサブスクリプションを持っている場合、ホスト名ごとの設定でTLS 1.0(または他のバージョン)を無効にするオプションもあります。
Cloudflareを介してプロキシされた場合に、ゾーン全体に適用されるTLSバージョンを管理するには:
- Cloudflareダッシュボード ↗にログインし、アカウントを選択します。
- ウェブサイトを選択します。
- SSL/TLS > エッジ証明書に移動します。
- 最小TLSバージョンのオプションを選択します。
min_tls_versionをURIパスの設定名として使用し、valueパラメータに希望する最小バージョンを指定して、ゾーン設定の編集エンドポイントを使用します。
Advanced Certificate Managerのユーザーは、Cloudflareゾーン内の特定のホスト名ごとに最小TLSバージョンを指定するオプションもあります。
これは現在、APIを介してのみ利用可能です:
- ホスト名のTLS設定を編集エンドポイントを使用して、
min_tls_versionの異なる値を指定します。 - ホスト名のTLS設定を削除エンドポイントを使用して、以前に定義された
min_tls_version設定をクリアします。
Cloudflareは、ホスト名の優先順位ロジックを使用して、どの設定を適用するかを決定します。
サポートされているTLSバージョンをテストするには、TLSバージョンを指定してウェブサイトまたはアプリケーションへのリクエストを試みます。
例えば、curlコマンドを使用してTLS 1.1をテストします(www.example.comをCloudflareのドメインとホスト名に置き換えます):
curl https://www.example.com -svo /dev/null --tls-max 1.1テストしているTLSバージョンがCloudflareによってブロックされている場合、TLSハンドシェイクは完了せず、エラーが返されます:
* error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert