ビューワーと CloudFront との間でサポートされているプロトコルと暗号 - Amazon CloudFront

ビューワーと CloudFront との間でサポートされているプロトコルと暗号

ビューワーと CloudFront ディストリビューションとの間で HTTPS が必要である場合は、セキュリティポリシーを選択する必要があります。これにより、次の設定が決定されます。

  • CloudFront でビューワーとの通信に使用する最小の SSL/TLS プロトコル。

  • ビューワーとの通信を暗号化するために CloudFront が使用できる暗号。

セキュリティポリシーを選択するには、セキュリティポリシー に該当する値を指定します。以下の表は、各セキュリティポリシーで CloudFront が使用できるプロトコルと暗号化方式の一覧です。

ビューワーは、CloudFront との HTTPS 接続を確立するために、これらの暗号のうち少なくとも 1 つをサポートする必要があります。CloudFront は、ビューワーがサポートする暗号化方式から一覧順で暗号化方式を選択します。「OpenSSL、s2n、および RFC の暗号名」も参照してください。

セキュリティポリシー
SSLv3 TLSv1 TLSv1_2016 TLSv1.1_2016 TLSv1.2_2018 TLSv1.2_2019 TLSv1.2_2021
サポートされている SSL/TLS プロトコル
TLSv1.3¹
TLSv1.2
TLSv1.1
TLSv1
SSLv3
サポートされている TLSv1.3 暗号
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
サポートされる ECDSA 暗号
ECDHE-ECDSA-AES128- GCM-SHA256
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256- GCM-SHA384
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES256-SHA384
ECDHE-ECDSA-AES256-SHA
サポートされる RSA 暗号
ECDHE-RSA-AES128- GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256- GCM-SHA384
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

¹CloudFront では、TLSv1.3 に対して 1 回のラウンドトリップ時間 (1-RTT) のハンドシェイクがサポートされていますが、ゼロの往復時間 (0-RTT) のハンドシェイクはサポートされていません。

OpenSSL、s2n、および RFC の暗号名

OpenSSL と s2n では、TLS 標準で使用されている暗号名 (RFC 2246RFC 4346RFC 5246RFC 8446) とは異なる暗号名が使用されます。以下の表では、各暗号化方式の OpenSSL 名と s2n 名から RFC 名までを示しています。

楕円曲線キー交換アルゴリズムを使用した暗号について、CloudFront は次の楕円曲線をサポートします。

  • prime256v1

  • secp384r1

  • X25519

OpenSSL および s2n の暗号名 RFC の暗号名
サポートされている TLSv1.3 暗号
TLS_AES_128_GCM_SHA256 TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384 TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256 TLS_CHACHA20_POLY1305_SHA256
サポートされる ECDSA 暗号
ECDHE-ECDSA-AES128- GCM-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
ECDHE-ECDSA-AES128-SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
ECDHE-ECDSA-AES128-SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
ECDHE-ECDSA-AES256- GCM-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
ECDHE-ECDSA-CHACHA20-POLY1305 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-ECDSA-AES256-SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
サポートされる RSA 暗号
ECDHE-RSA-AES128- GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES256- GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-CHACHA20-POLY1305 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384
AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256
AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
RC4-MD5 TLS_RSA_WITH_RC4_128_MD5

ビューワーと CloudFront 間でサポートされている署名スキーム

CloudFront では、ビューワーと CloudFront 間の接続について、次の署名スキームがサポートされています。

  • TLS_SIGNATURE_SCHEME_RSA_PSS_PSS_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PSS_PSS_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PSS_PSS_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PSS_RSAE_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA256

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA512

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA224

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA256

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA384

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA512

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA224

  • TLS_SIGNATURE_SCHEME_ECDSA_SECP256R1_SHA256

  • TLS_SIGNATURE_SCHEME_ECDSA_SECP384R1_SHA384

  • TLS_SIGNATURE_SCHEME_RSA_PKCS1_SHA1

  • TLS_SIGNATURE_SCHEME_ECDSA_SHA1