TLS プロファイルを構成する

トランスポート層セキュリティ (TLS) プロファイルは、TLS をサポートするプロキシ アクションによるコンテンツ インスペクションで使用される一連の設定を定義します。TLS についての詳細は、次を参照してください: トランスポート層セキュリティ (TLS) について

TLS プロファイルをサポートするポリシーは次の通りです:

  • IMAP プロキシ (Fireware v12.1 以降でサポート)
  • HTTPS プロキシ (Fireware v12.1.1 以降でサポート)
  • POP3 プロキシ (Fireware v12.2 以降でサポート)
  • SMTP プロキシ (Fireware v12.2 以降でサポート)

TLS プロファイル構成では、TLS プロファイル設定を構成して TLS プロファイルをプロキシ アクションに割り当てられます。

TLS プロファイル設定

TLS プロファイルでは、以下の設定を構成できます:

最小プロトコル バージョン

TLS プロキシでは、セキュアな接続を実現するために 4 つの TLS 暗号化プロトコル バージョンがサポートされています。安全性の低い順に並べると、TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3 となります。TLS プロファイルでは、少なくとも指定されている最小プロトコル バージョンをネゴシエートする接続が許可されます。最小プロトコル バージョンで使用できるオプションは、TLSv1.0、TLSv1.1、および TLSv1.2 です。事前適宜された TLS プロファイルでは、最小プロトコル バージョンの TLS v1.0 を指定します。ペイメント カード業界データセキュリティ基準 (PCI DSS) の基準を満たすため、最小プロトコル バージョンを TLS v1.1 に設定します。

SSLv3 プロトコルは安全ではないため、Fireware 12.4 以降ではサポートされていません。

  • Fireware 12.3.1 以前では、最小プロトコル バージョンとして SSLv3 を選択することができます。内部ネットワーク上のレガシーシステムに後方互換性を提供しなければならない場合を除き、SSLv3 は許可しないことをお勧めします。
  • Fireware 12.4 以降では、最小プロトコル バージョンとして SSLv3 を選択することはできません。クライアントで SSLv3 プロトコルが指定されている場合は、プロキシにより直ちに接続が拒否され、別のプロトコルへのネゴシエーションが許可されなくなります。

Fireware v12.1.x のこの設定は SSLv3 を許可する と呼ばれ、規定で無効になっています。SSLv3 を許可する が無効化されている場合は、TLS プロファイルでは TLS v1.0 以降のプロトコルをネゴシエートする接続のみが許可されます。

TLS 準拠のトラフィックのみ許可する

このオプションが有効化されている場合は、TLS プロファイルでは TLS 1.0、TLS 1.1、TLS 1.2、または TLS 1.3 プロトコルに準拠するトラフィックのみが許可されます (プロトコルのバージョンが最小プロトコル バージョンより低くない場合)。TLS 準拠の TLS プロトコルメッセージのみが安全とみなされ、プロキシによって解釈できます。プロキシ アクションで TLS 準拠のトラフィックのみを許可する TLS を使用する場合、TLS 準拠のトラフィックは安全なトンネルを構築します。トンネルを通過したトラフィックが有効な TLS プロトコルを使用していない場合、インスペクションに使用されたプロキシ アクションはエラーについてのログ メッセージを送るよう Firebox を促し、トラフィックを中断します。

このオプションを有効にすると、主に HTTPS トラフィックが強制されます。Web ブラウザは通常 HTTPS を使用するため、多くのクライアント アプリケーションはクラウドへの接続に失敗する可能性があります。

このオプションが無効化されている場合は、TLS プロファイルでは、TLS プロトコルに準拠していないトラフィックが、それ以上の処理なしにプロキシ経由で許可されます。

OCSP を使用して証明書を検証する

このオプションは、Firebox が OCSP (Online Certificate Status Protocol) を使った証明書失効を自動的にチェックするようにします。この機能を有効にすると、Firebox は証明書内の情報を使用して、証明書ステータスのレコードをもつ OCSP サーバーに接続します。OCSP サーバーが証明書の取り消しに応答すると、Firebox で証明書が無効になります。このオプションは、クライアント プロキシ アクションに適用されます。サーバー プロキシ アクションは、証明書を検証しません。

このオプションを有効にすると、Firebox は OCSP サーバーからの応答を要求するため、数秒の遅延が発生する可能性があります。頻繁に使用するサイトにおけるパフォーマンスを改善するために、Firebox はキャッシュに 300 から 3000 の OCSP 応答を保持します。キャッシュに保存される応答数は、Firebox モデルにより異なります。

証明書を検証できない場合、証明書は無効とみなされます

このオプションは OCSP 検証が有効な場合のみ適用され、OCSP 検証が 寛大厳格 かを制御します。

  • このオプションが無効な場合は、Firebox が 寛大 な OCSP ポリシーを強制します。何らかの理由で OCSP サーバーが接続できずに応答を送信しない場合も、Firebox が証明書を無効にしたり、証明書チェーンを中断したりすることはありません。失効した証明書のみが無効と見なされます。
  • このオプションが有効な場合は、Firebox が 厳格 な OCSP ポリシーを強制します。OCSP レスポンダーが失効ステータス要求に応答を送信しない場合、Firebox は元の証明書を無効または失効とみなします。ネットワーク接続に関する問題またはルーティングのエラーが発生した場合、このオプションによって、証明書は無効な証明書とみなされます。良好な応答インジケータがある証明書のみが有効と見なされます。

Perfect Forward Secrecy 暗号

TLS アクションは、TLS 接続で PFS 対応暗号をサポートします。Fireware は、PFS に対して Elliptic Curve Ephemeral Diffie-Hellman (ECDHE) 暗号のみをサポートします。

Firebox が PFS 対応暗号を使用するかどうかを制御するには、これらのオプションの 1 つを選択します:

  • なし — Firebox は PFS 対応暗号を公開または選択しません。
  • 許可 — Firebox は PFS 対応と PFS 非対応暗号の両方を公開して選択します。
  • 必須 — Firebox は PFS 対応暗号のみを公開および選択します。

選択した設定は、クライアントとサーバー側の TLS 接続の両方に適用されます。このオプションが 許可 に設定されているばあい、サーバーでも PFS 暗号を使用していない限り、クライアントは PFS 暗号を使用しません。

TLS 1.3 接続では、常に PFS 対応の暗号が使用されます。このオプションが なし に設定されている場合は、接続ではプロキシ コンテンツ インスペクション ネゴシエーションに TLS 1.3 が使用できなくなります。TLS v1.2 以下は、クライアント/サーバー サポートと TLS プロファイルの最小プロトコル バージョンに基づいてネゴシエートできます。

ユーザーが TLS v1.3 を必要とする Web サイトに HTTPS 経由で接続できるようにするために、TLS プロファイルでこのオプションを なし に設定しないことをお勧めします。

Perfect Forward Secrecy 暗号にはかなりのリソースが必要であり、Firebox T10、T15、T30、T35、T50、XTM 25、XTM 26、および XTM 33 デバイスのシステム パフォーマンスに影響を与える可能性があります。Fireware 12.1.2 以前では、これらのモデルで PFS 暗号を有効化することはできません。

クライアント/サーバー TLS セッションに使用される暗号名が、Firebox によって生成されたコンテンツ インスペクション トラフィック ログ メッセージに表示されます。ログ メッセージの詳細は、次を参照してください: ログ メッセージの種類

事前定義された TLS プロファイル

事前定義された TLS プロファイルには 4 種類あります。この表は、事前定義された TLS プロファイルそれぞれの違いと、各プロファイルを使用するプロキシ アクションをまとめています。

TLS プロファイル OCSP TLS 準拠 プロキシ アクションで使用
TLS-Client.Standard 無効 強制されない IMAP-Client.Standard
POP3-Client.Standard
SMTP-Outgoing.Standard
TLS-Server.Standard 該当なし 強制 IMAP-Server.Standard
POP3-Server.Standard
SMTP-Incoming.Standard
TLS-Client-HTTPS.Standard 寛大 強制されない HTTPS-Client.Standard
TLS-Server-HTTPS.Standard 該当なし 強制されない HTTPS-Server.Standard

TLS プロファイルを管理する

TLS プロファイルページでは、TLS プロファイルをクローンして編集できます。また、各プロキシ アクションで使用する TLS プロファイルも選択できます。

TLS プロファイルをクローンまたは編集する

事前定義済みの TLS プロファイルは変更できません。新しい TLS プロファイルを追加するには、既存のプロファイルをクローンする必要があります。

  1. ファイアウォール > TLS プロファイル の順に選択します。
    TLS プロファイル ページが表示されます。

Fireware Web UI の TLS プロファイルページのスクリーンショット

  1. トランスポート層セキュリティ プロファイル リストで、クローンまたは編集する TLS を選択します。
  2. クローン または 編集 をクリックします。

クライアント TLS プロファイルのスクリーンショット

  1. プロファイルで必要な通りに設定を編集します。
  1. 設定 > アクション > TLS プロファイル の順に選択します。
    トランスポート層セキュリティ プロファイル ダイアログ ボックスが表示されます。

Policy Manager のトランスポート層セキュリティ プロファイル ダイアログ ボックスのスクリーンショット

  1. クローンまたは編集する TLS プロファイルを選択します。
  2. クローン または 編集 をクリックします。

Screen shot of the Clone TLS Profile dialog box

  1. プロファイルで必要な通りに設定を編集します。

プロキシ アクションでコンテンツ インスペクションや TLS 設定を構成する際も、TLS プロファイルをクローンまたは編集できます。

プロキシ ポリシーに TLS プロファイルを構成する

規定では、TLS プロファイルをサポートするプロキシ アクションは事前定義された TLS プロファイルを使用します。プロキシ アクションで使用する TLS プロファイルを変更するには、プロキシ アクションを編集するか、TLS プロファイル構成でポリシーリストから割り当てられた TLS プロファイルを変更します。

明示的 TLS および 暗黙的 TLS の両方をサポートするプロキシ アクションの場合、明示的 TLS および 暗黙的 TLS で異なる TLS プロファイルを使用するよう選択できます (STARTTLS とも呼ばれます)。明示的 TLS および 暗黙的 TLS の詳細については、次を参照してください: トランスポート層セキュリティ (TLS) について

事前定義されたプロキシ アクションに割り当てられた TLS プロファイルは変更できません。変更するには、まずプロキシ アクションをクローンする必要があります。詳細については、プロキシ アクションについて を参照してください。

  1. ファイアウォール > TLS プロファイル の順に選択します。
    TLS プロファイル ページが表示されます。

TLS プロファイル ページの TLS プロファイルをサポートするポリシーのリスト のスクリーンショット

  1. TLS プロファイルをサポートするポリシー リストで、1 つまたは複数のクライアントまたはサーバー プロキシ アクションを選択します。
  2. 明示的 TLS の TLS プロファイルを選択するには、TLS プロファイルの選択 ドロップダウン リストから、使用する TLS プロファイルを選択します。
  3. 暗黙的 TLS をサポートするプロキシ アクションの場合、STARTTLS プロファイルの選択 ドロップダウン リストから、使用する TLS プロファイルを選択します。
  4. 更新された TLS プロファイル設定をプロキシ アクションに保存するには、保存 をクリックします。
  1. 設定 > アクション > TLS プロファイル の順に選択します。
    トランスポート層セキュリティ プロファイル ダイアログ ボックスが表示されます。
  2. ポリシー タブをクリックします。

Policy Manager にある TLS プロファイルダイアログのポリシー タブのスクリーンショット

  1. 1 つまたは複数のクライアントまたはサーバープロキシ アクションを選択します。
  2. 明示的 TLS の TLS プロファイルを選択するには、TLS プロファイルの選択 ドロップダウン リストから、使用する TLS プロファイルを選択します。
  3. 暗黙的 TLS をサポートするプロキシ アクションの場合、STARTTLS プロファイルの選択 ドロップダウン リストから、使用する TLS プロファイルを選択します。

プロキシ アクションでコンテンツ インスペクションを有効にする

プロキシ アクションがコンテンツ インスペクションに割り当てられた TLS プロファイルを使用するようにするには、プロキシ アクション設定で 検査 アクションを選択します。

TLS プロファイルの選択方法とプロキシ アクションでコンテンツ インスペクションを構成する方法については、次を参照してください:

関連情報:

トランスポート層セキュリティ (TLS) について

プロキシ アクションについて

ポリシー プロパティについて