ビューワーと CloudFront との間でサポートされているプロトコルと暗号 - Amazon CloudFront

ビューワーと CloudFront との間でサポートされているプロトコルと暗号

ビューワーと CloudFront ディストリビューション間で HTTPS を必要とする場合、セキュリティポリシーを選択する必要があります。これにより、次の設定が決定されます。

  • ビューワーと通信するために CloudFront が使用する最低限の SSL/TLS プロトコル。

  • ビューワーとの通信を暗号化するために CloudFront が使用できる暗号。

セキュリティポリシーを選択するには、セキュリティポリシー に該当する値を指定します。以下の表は、各セキュリティポリシーで CloudFront が使用できるプロトコルと暗号化方式の一覧です。

ビューワーは、CloudFront との HTTPS 接続を確立するために、これらの暗号のうち少なくとも 1 つをサポートする必要があります。AWS Certificate Manager で SSL/TLS 証明書を使用する場合、ビューワーは *-RSA-* 暗号のいずれかをサポートしている必要があります。CloudFront は、ビューワーがサポートしている暗号のリストに表示されている順に暗号を選択します。「OpenSSL、s2n、および RFC の暗号名」も参照してください。

セキュリティポリシー
SSLv3 TLSv1 TLSv1_2016 TLSv1.1_2016 TLSv1.2_2018 TLSv1.2_2019
サポートされている SSL/TLS プロトコル
TLSv1.3¹
TLSv1.2
TLSv1.1
TLSv1
SSLv3
サポートされている暗号
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES128- GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256- GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

¹CloudFront では、TLSv1.3 に対して 1 回のラウンドトリップ時間 (1-RTT) のハンドシェイクがサポートされていますが、ゼロのラウンドトリップ時間 (0-RTT) のハンドシェイクはサポートされていません。

OpenSSL、s2n、および RFC の暗号名

OpenSSL と s2n では、TLS 標準で使用されている暗号名 (RFC 2246RFC 4346RFC 5246RFC 8446) とは異なる暗号名が使用されます。以下の表では、各暗号化方式の OpenSSL 名と s2n 名から RFC 名までを示しています。

OpenSSL および s2n の暗号名 RFC の暗号名

TLS_AES_128_GCM_SHA256

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_CHACHA20_POLY1305_SHA256

ECDHE-RSA-AES128- GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256- GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-CHACHA20-POLY1305

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5

ビューワーと CloudFront 間でサポートされている署名スキーム

CloudFront では、ビューワーと CloudFront 間の接続について、次の署名スキームがサポートされています。

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA224

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA1