メニュー
Amazon CloudFront
開発者ガイド (API バージョン 2016-09-29)

サポートされているプロトコルと暗号

ビューアと CloudFront 間の通信、および CloudFront とオリジン間の通信のどちらでも HTTPS 設定を選択できます。

  • ビューアと CloudFront 間– ビューアと CloudFront 間で HTTPS が必要な場合には、ビューアと CloudFront の通信に使用されるプロトコルを決定するセキュリティポリシーも選択します。また、セキュリティポリシーはビューアに返すコンテンツを暗号化するために CloudFront がどの暗号化方式を使用するかを決定します。

  • CloudFront とオリジン間– CloudFront とオリジン間で HTTPS が必要な場合には、CloudFront とオリジンの通信に使用されるプロトコルを決定するセキュリティポリシーも選択します。選択したプロトコルは、CloudFront に返すコンテンツを暗号化するためにオリジンがしようできる暗号化方式を決定します。

ビューアと CloudFront 間の通信用にサポートされる SSL/TLS プロトコル

ビューワーと CloudFront との間で HTTPS を必須にするかどうかを選択する場合、ビューワープロトコルポリシー で該当する値を指定します。

HTTPS を求めるように選択する場合には、HTTPS 接続に使用するために必要な CloudFront のセキュリティポリシーも選択します。セキュリティポリシーは 2 通りの設定を決定します。

  • ビューアと通信するために CloudFront が使用する SSL/TLS プロトコル

  • ビューアに返すコンテンツを暗号化するために CloudFront が使用する暗号化方式

ユーザーが TLSv1.1 以降のブラウザあるいはデバイスを使用している場合以外では、[TLSv1.1_2016] を指定することが推奨されます。カスタム SSL 証明書および SNI を使用する場合は、TLSv1 以降を使用する必要があります。

セキュリティポリシーを選択するには、セキュリティポリシー に該当する値を指定します。以下の表は、各セキュリティポリシーで CloudFront が使用できるプロトコルと暗号化方式の一覧です。

ビューワーは、CloudFront との HTTPS 接続を確立するために、これらの暗号のうち少なくとも 1 つをサポートする必要があります。AWS Certificate Manager で SSL/TLS 証明書を使用する場合、ビューワーは *-RSA-* 暗号化のいずれかをサポートしている必要があります。CloudFront は、ビューワーがサポートする暗号化方式から一覧順で暗号化方式を選択します。「OpenSSL および RFC 暗号化名」も参照してください。

セキュリティポリシー
SSLv3 TLSv1.0 TLSv1_2016 TLSv1.1_2016 TLSv1.2_2018
サポートされる SSL/TLS プロトコル
TLSv1.2
TLSv1.1
TLSv1
SSLv3
サポートされる暗号化
ECDHE-RSA-AES128- GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256- GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA
AES128-SHA
DES-CBC3-SHA
RC4-MD5

OpenSSL および RFC 暗号化名

OpenSSL および IETF RFC 5246、Transport Layer Security (TLS) プロトコルのバージョン 1.2、同じ暗号化方式には別名を使用します。以下の表では、各暗号化方式の OpenSSL 名 から RFC 名までを示しています。

OpenSSL の暗号名 RFC の暗号名

ECDHE-RSA-AES128- GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

ECDHE-RSA-AES256- GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5

CloudFront とオリジン間の通信用にサポートされる SSL/TLS プロトコール

CloudFront とオリジンとの間で HTTPS を必須にする」を選択する場合、安全な接続にどの SSL/TLS プロトコールを許可するかを決定し、オリジンに HTTPS 接続を確立するために任意の CloudFront でサポートされる暗号を選択することができます。

CloudFront は、このセクションに示す ECDSA あるいは RSA を使用してオリジンサーバーに HTTP リクエストを転送できます。CloudFront がオリジンに対する HTTPS 接続を確立するには、オリジンサーバーがこれらの暗号のうち少なくとも 1 つをサポートしている必要があります。CloudFront でサポートされる 2 種類の暗号に関する詳細は、「 RSA および ECDSA 暗号について」を参照してください。

注記

次の曲線が楕円曲線に基づく暗号にサポートされます。

  • prime256v1

  • secp384r1

OpenSSL および IETF RFC 5246、Transport Layer Security (TLS) プロトコルのバージョン 1.2、同じ暗号化方式には別名を使用します。以下の表では、各暗号化方式の OpenSSL 名 から RFC 名までを示しています。

サポートされる RSA 暗号

CloudFront は、オリジンとの接続に以下の RSA 暗号をサポートしています。

OpenSSL の暗号名 RFC の暗号名

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5

サポートされる ECDSA 暗号

CloudFront は、オリジンとの接続に以下の ECDSA 暗号をサポートしています。

OpenSSL の暗号名 RFC の暗号名

ECDHE-ECDSA-AES256- GCM-SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

ECDHE-ECDSA-AES256-SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

ECDHE-ECDSA-AES256-SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

ECDHE-ECDSA-AES128- GCM-SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

ECDHE-ECDSA-AES128-SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

ECDHE-ECDSA-AES128-SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA