ニュース

Cloudflareがすべてのお客様にどのようにバックアップ証明書を提供しているか、詳細をお読みください。 読む

Cloudflare SSL/TLS

すべてのアプリケーションサービスプランでSSL/TLSを無料提供

できるだけ多くのWebトラフィックを暗号化してデータの盗難や改ざんを防ぐことは、より安全で優れたインターネットを構築するための重要なステップです。SSL保護を無料で提供する、初のインターネットパフォーマンスおよびセキュリティ企業になれたことを、Cloudflareは誇りに思っています。

Ssl tls heroのイラスト

SSLとは?

SSLとは?

SSL(Secure Socket Layer)は、Webサーバーとブラウザ間の通信データを暗号化する標準的なセキュリティ技術です。通信が安全に行われることにより、転送されるすべてのデータをプライベートに保つことができます。SSLは、TLS(Transport Layer Security)とも呼ばれます。顧客のデータをのぞき見や改ざんから保護するために、多くのWebサイトがSSL暗号化を日常的に使用して安全な通信を確保しています。

SSLとは?

SSLとは

SSLを使用する理由

インターネット上のすべてのWebサイトは、HTTPS経由で配信される必要があります。理由は次のとおりです。

  • パフォーマンス:最新のSSLによりページ読み込み時間は向上します。

  • 検索ランキングの上昇:検索エンジンでは、HTTPS Webサイトが優先されます。

  • セキュリティ:SSLでトラフィックを暗号化することで、ユーザーのデータがのぞき見されることはありません。

  • 信頼:SSLを使用するとブラウザーのアドレスバーに緑色のロックが表示され、訪問者からの信頼が高まります。

  • 企業コンプライアンス:SSLは、PCI準拠の重要な要素です。

簡単なSSL設定

手動でSSLを設定する場合は、いくつかの手順が必要です。また、設定を誤ると、ユーザーがWebサイトにアクセスできなくなる可能性があります。CloudflareはボタンをクリックするだけであらゆるインターネットプロパティをHTTPS対応にします。CloudflareのSSLを使用すれば、SSL証明書の有効期限や最新のSSL脆弱性を心配する必要はありません。

手動によるSSL設定

SSL - manually configuring SSL steps

CloudflareのSSL設定

Turn on SSL from Cloudflare dashboard


SSLパフォーマンス

HTTPSは進化しています。従来と比べてより多くのWebサイトで使用され、速度は増し、安全性は向上しています。SSLにより、既存のコードベースを変更せずにWebサイトを最大2倍高速化できるHTTP/2が有効になります。最新のTLSには、セッション再開、OCSP Stapling、小さめのキーを使用する楕円曲線暗号(より高速なハンドシェイクが可能)などのパフォーマンス重視の機能も含まれています。TLS 1.3では、レイテンシーはさらに短縮され、安全性の低いTLSの機能は削除されているため、以前のバージョンのTLSと無保護のHTTPと比較すると、HTTPSの安全性とパフォーマンスは向上しています。

Cloudflareは、OpenSSLのパフォーマンス向上にも取り組んでいます。AES-128-GCMより3倍速い暗号スイートのChaCha20-Poly1305を、Cloudflareはモバイルデバイスに実装しました。Cloudflareはパフォーマンスを重視しています。


動作モード

CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できます。ただし、Cloudflareと配信元サーバー間のトラフィックは、さまざまな方法で設定できます。

Flexible SSL

訪問者とCloudflare間で暗号化されたCloudflareの柔軟なSSLトラフィック

Flexible SSLは、CloudflareからWebサイトのエンドユーザーまでのトラフィックを暗号化しますが、Cloudflareから配信元サーバーへのトラフィックは暗号化しません。配信元にSSL証明書をインストールする必要がないため、これはHTTPSを有効にする最も簡単な方法です。Flexible SSLは、他のオプションほど安全性は高くありませんが、公共のWiFiでののぞき見やHTTP経由の広告インジェクションなど、最大級の脅威から訪問者を保護します。

訪問者とCloudflare間で暗号化されたCloudflareの柔軟なSSLトラフィック

Full SSL

Cloudflareからオリジンサーバーへの暗号化されたCloudflareのフルSSLトラフィック

Full SSLモードでは、エンドユーザーからCloudflare、およびCloudflareから配信元サーバーまでを暗号化します。この方法では、配信元サーバー上にSSL証明書が必要です。Full SSLモードでは、サーバーに証明書をインストールするための次の3つのオプションがあります。認証機関発行の証明書(Strict)、Cloudflare発行の証明書(Origin CA)、自己署名証明書。Cloudflare Origin CAで取得する証明書の使用をおすすめします。

Cloudflareからオリジンサーバーへの暗号化されたCloudflareのフルSSLトラフィック

Origin CA

Origin CAでは認証機関発行の証明書の代わりに、Cloudflare発行のSSL証明書を使用します。この方法では、配信元サーバーでSSLを構成する際の多くの行き違いを軽減しながら、送信元からCloudflareへのトラフィックを保護します。証明書に認証機関の署名を得る代わりに、Cloudflareのダッシュボードで直接署名付き証明書を作成できます。


高度な設定オプション

カスタム証明書

Cloudflareは複数の顧客ドメインに共有されるSSL証明書を自動的にプロビジョニングします。BusinessおよびEnterpriseのお客様には、エンドユーザーに提示されるカスタムの専用SSL証明書をアップロードするオプションがあります。これにより、Extended Validation(EV)証明書およびOrganization Validated(OV)証明書の使用が可能になります。

Modern TLS Only

TLSおよびSSLの過去のすべてのバージョンには既知の脆弱性が存在するため、PCI 3.2準拠にはTLS 1.2または1.3が必要です。Cloudflareは、WebサイトからのすべてのHTTPSトラフィックをTLS 1.2または1.3経由で配信する「Modern TLS Only」オプションを提供します。

Opportunistic Encryption

日和見暗号化では、混合コンテンツやその他のレガシー問題のために、HTTPSにアップグレードできないものにHTTP専用ドメインを提供します。暗号化とWeb最適化機能のメリットは、TLSを使用する場合にのみ1行のコードも変更することなく利用できます。

TLSクライアント認証

CloudflareのMutual Auth(TLSクライアント認証)は、IoTデバイスやモバイルアプリなどを使用するクライアントとその配信元との間を安全に接続します。クライアントが配信元サーバーとの接続を確立しようとすると、Cloudflareはデバイスの証明書を検証して、エンドポイントへのアクセスが許可されていることを確認します。建物に入るために正しいキーが必要であるのと同様に、デバイスに有効なクライアント証明書がある場合に安全な接続を確立できます。デバイスの証明書がない場合、期限切れの場合、無効な場合は接続は取り消され、Cloudflareは403エラーを返します。

HSTS

HTTP Strict Transport Security(HSTS)プロトコルの対応は、Webサイト、API、モバイルアプリケーションのセキュリティを強化する最も簡単な方法です。HSTSは、配信元サーバーへのすべてのリクエストに対してクライアントの安全な接続の使用を促すHTTPプロトコルの拡張機能です。Cloudflareでは、ボタンをクリックするだけでHSTSに対応できます。

Automatic HTTPS Rewrites

Automatic HTTPS Rewritesは、既知の(安全な)ホストから安全性の低いURLを安全なURLに動的に書き換えることで、混合コンテンツの問題を安全に排除し、パフォーマンスとセキュリティを強化します。安全な接続を実行することで、Automatic HTTPS Rewritesにより、HTTPS経由でのみ利用可能な最新のセキュリティ標準とWeb最適化機能を利用できるようになります。

暗号化サーバー名インジケータ(SNI)

暗号化SNIは、TLSネゴシーション中にClientHelloメッセージで使用されるプレーンテキストの"server_name”拡張子を“encrypted_server_name”に置き換えます。 この機能はTLS 1.3の機能拡張であり、訪問者とWebサイトの仲介者から宛先ホスト名を画することによってユーザーのプライバシーを強化します。

Geo Key Manager

Geo Key Managerでは、HTTPS接続を確立するために、どのCloudflareのデータセンターがプライベートキーにアクセスするかを選択できます。Cloudflareには、米国またはEUのデータセンター、およびCloudflareネットワークの最高のセキュリティデータセンターから選択できるオプションがあります。プライベートキーにアクセスできないデータセンターではTLSを終了することはできますが、プライベートキーを格納している最寄りのCloudflareデータセンターに通信する際には、わずかな初期遅延が発生します。


専用SSL証明書

CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できます。ただし、Cloudflareと配信元サーバー間のトラフィックは、さまざまな方法で設定できます。


TLS脆弱性への大規模な対応

Cloudflareのエンジニアは、何十億ものSSLリクエストを毎日処理しています。新たなセキュリティの脆弱性が発見された場合には、迅速な対応が必要です。多くの脆弱性は、Cloudflareの厳しいセキュリティ基準によりユーザーには影響を及ぼしません。以下に暗号化を解読する方法をいくつか紹介します。

Padding OraclesとCBC暗号スイートの拒否

2016年の初めに、わずか6か月でAEAD暗号のWebクライアントのサポートが50%未満から70%超に増加したことがわかりました。暗号ブロック連鎖が完全に安全であるとは考えられなくなった理由をご確認ください。

詳細はこちら

Logjam:最新のTLSの脆弱性について

Cloudflareのお客様は、Logjamの脆弱性の影響を受けませんでしたが、Logjamの仕組みを詳しく紹介する記事を掲載しています。

詳細はこちら

独自のパブリックキーインフラストラクチャの構築

Cloudflareは、独自の内部認証機関を使用して、データセンター間のすべてのトラフィックを暗号化します。Cloudflareは、独自のオープンソースPKIツールキットを構築しています。

詳細はこちら

Roughtimeプロトコルのサポート

認証済みタイムスタンプサービスを使用してTLS証明書エラーを減らすことにより、Webの安全性を高めます。

詳細はこちら

技術的な詳細

CloudflareのSSL無料ユーザーに最低限必要なブラウザーバージョン:

デスクトップブラウザー
  • Firefox 2
  • Windows VistaのInternet Explorer 7
  • Windows VistaまたはOS X 10.6:
    Chrome 5.0.342.0、Opera 14、Safari 4使用
モバイルブラウザー
  • iOS 4.0のMobile Safari
  • Android 4.0(Ice Cream Sandwich)
  • Windows Phone 7
注:

上に記載されているオペレーティングシステムは、最低限必要とされるバージョンです。Windows XP SP2やAndroid 3.0未満などの古いブラウザーとの互換性が必要な場合は、Pro、Business、またはEnterpriseプランでSSLを使用してください。さらに質問がある場合は、 FAQを参照してください。

Cloudflareの設定は簡単です



ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。


何百万ものインターネットプロパティからの信頼

「ロゴMarsが信頼を寄せる」グレー色
「ロゴ Lorealが信頼を寄せる」グレー色
「ロゴ Doordashが信頼を寄せる」グレー色
「ロゴGarminが信頼を寄せる」グレー色
「ロゴ IBMが信頼を寄せる」グレー色
「ロゴ 23andmeが信頼を寄せる」グレー色
「ロゴShopigyが信頼を寄せる」グレー色
「ロゴ LendingTree が信頼を寄せる」グレー色
「ロゴ Labcorpが信頼を寄せる」グレー色
「ロゴNCR が信頼を寄せる」グレー色
「ロゴトムソン・ロイターが信頼を寄せる」グレー色
「ロゴZendeskが信頼を寄せる」グレー色

Enterpriseのみの機能をご利用ください。

24時間体制のチャット、メール、電話対応
24時間体制のチャット、メール、電話対応
電話、チャット、メールでのサポートは、平均応答時間15分です。 重要な業務上の問題の場合、Enterpriseのお客様はCloudflareの24時間365日の緊急時電話サポートホットラインを利用できます。
稼働率100%保証と25倍の払い戻しを定めたSLA
稼働率100%保証と25倍の払い戻しを定めたSLA
万一ダウンタイムが発生した場合、お客様はそれぞれの障害と影響を受けた顧客の割合に応じて月額料金の割引(25倍)を受けることができます。
使用量ベースの製品には予測可能な定額制の料金設定
使用量ベースの製品には予測可能な定額制の料金設定
Enterpriseのお客様のみがArgo、Rate Limiting、Workers、負荷分散、Live Streamなどに対する定額料金の交渉が行えます。
高度なキャッシュ統制
高度なキャッシュ統制
Enterpriseのお客様はより低いTTLで、タグやホスト別のキャッシュをパージ可能です。
ボット管理
ボット管理
Cloudflareネットワークの力を利用してアプリケーションへのボットトラフィックを賢く管理し、クレデンシャルスタッフィングや在庫の溜め込み、コンテンツスクレイピング、その他不正から保護します。
未加工ログの利用
未加工ログの利用
Cloudflareのネットワーク上のWebアセットから未加工ログデータを入手して、お客様が独自にデータの処理や分析を行うことができます。
ファイアウォール分析
ファイアウォール分析
WAF構成の影響を把握しましょう。 Firewall Analyticsではわかりやすい形式で影響を表示することで、ルールの有効性を知ることができます。
ロールベースのアクセス
ロールベースのアクセス
お客様の組織全体でロールベースのアクセスを提供します。各ユーザーには、権限セット、個別のAPIキー、オプションの二要素認証が付与されます。
ネットワークの優先順位付け
ネットワークの優先順位付け
Enterpriseプランのお客様のWeb資産は、Cloudflareの専用IP範囲上に配置され、優先ルーティングや保護により最大限の速度と可用性が確保されます。

不明な点がありますか?

セールスの電話番号: +1 (650) 319 8930

Enterpriseデモを依頼

このフォームを送信することにより、お客様はCloudflareの製品、イベント、特典などに関連する情報を受け取ることに同意したものとみなされます。いつでも、メッセージの配信を停止することができます。Cloudflareは決してお客様のデータを販売することはなく、みなさまのプライバシーに関する選択を尊重します。詳細情報につきましては、プライバシーポリシーをお読みください。

サポートが必要ですか? こちらをクリック