Cloudflare SSL/TLS

すべてのアプリケーションサービスプランでSSL/TLSを無料提供

できるだけ多くのWebトラフィックを暗号化してデータの盗難や改ざんを防ぐことは、より安全で優れたインターネットを構築するための重要なステップです。SSL保護を無料で提供する、初のインターネットパフォーマンスおよびセキュリティ企業になれたことを、Cloudflareは誇りに思っています。

サインアッププランと価格設定を調べる

SSLとは？

SSL（Secure Socket Layer）は、Webサーバーとブラウザ間の通信データを暗号化する標準的なセキュリティ技術です。通信が安全に行われることにより、転送されるすべてのデータをプライベートに保つことができます。SSLは、TLS（Transport Layer Security）とも呼ばれます。顧客のデータをのぞき見や改ざんから保護するために、多くのWebサイトがSSL暗号化を日常的に使用して安全な通信を確保しています。

SSLとは

SSLを使用する理由

インターネット上のすべてのWebサイトは、HTTPS経由で配信される必要があります。理由は次のとおりです。

パフォーマンス：最新のSSLによりページ読み込み時間は向上します。
検索ランキングの上昇：検索エンジンでは、HTTPS Webサイトが優先されます。
セキュリティ：SSLでトラフィックを暗号化することで、ユーザーのデータがのぞき見されることはありません。
信頼：SSLを使用するとブラウザーのアドレスバーに緑色のロックが表示され、訪問者からの信頼が高まります。
企業コンプライアンス：SSLは、PCI準拠の重要な要素です。

簡単なSSL設定

手動でSSLを設定する場合は、いくつかの手順が必要です。また、設定を誤ると、ユーザーがWebサイトにアクセスできなくなる可能性があります。Cloudflareはボタンをクリックす��だけであらゆるインターネットプロパティをHTTPS対応にします。CloudflareのSSLを使用すれば、SSL証明書の有効期限や最新のSSL脆弱性を心配する必要はありません。

手動によるSSL設定

CloudflareのSSL設定

SSLパフォーマンス

HTTPSは進化しています。従来と比べてより多くのWebサイトで使用され、速度は増し、安全性は向上しています。SSLにより、既存のコードベースを変更せずにWebサイトを最大2倍高速化できるHTTP/2が有効になります。最新のTLSには、セッション再開、OCSP Stapling、小さめのキーを使用する楕円曲線暗号（より高速なハンドシェイクが可能）などのパフォーマンス重視の機能も含まれています。TLS 1.3では、レイテンシーはさらに短縮され、安全性の低いTLSの機能は削除されているため、以前のバージョンのTLSと無保護のHTTPと比較すると、HTTPSの安全性とパフォーマンスは向上しています。

Cloudflareは、OpenSSLのパフォーマンス向上にも取り組んでいます。AES-128-GCMより3倍速い暗号スイートのChaCha20-Poly1305を、Cloudflareはモバイルデバイスに実装しました。Cloudflareはパフォーマンスを重視しています。

動作モード

CloudflareのSSLは、必要なセキュリティレベルと希望する設定内容に応じて、さまざまなモードで動作します。エンドユーザーへのトラフィックは常に暗号化されます。つまり、Webサイトは常にHTTPSのメリットを利用できます。ただし、Cloudflareと配信元サーバー間のトラフィックは、さまざまな方法で設定できます。

Flexible SSL

Flexible SSLは、CloudflareからWebサイトのエンドユーザーまでのトラフィックを暗号化しますが、Cloudflareから配信元サーバーへのトラフィックは暗号化しません。配信元にSSL証明書をインストールする必要がないため、これはHTTPSを有効にする最も簡単な方法です。Flexible SSLは、他のオプションほど安全性は高くありませんが、公共のWiFiでののぞき見やHTTP経由の広告インジェクションなど、最大級の脅威から訪問者を保護します。

Full SSL

Full SSLモードでは、エンドユーザーからCloudflare、およびCloudflareから配信元サーバーまでを暗号化します。この方法では、配信元サーバー上にSSL証明書が必要です。Full SSLモードでは、サーバーに証明書をインストールするための次の3つのオプションがあります。認証機関発行の証明書（Strict）、Cloudflare発行の証明書（Origin CA）、自己署名証明書。Cloudflare Origin CAで取得する証明書の使用をおすすめします。

Origin CA

Origin CAでは認証機関発行の証明書の代わりに、Cloudflare発行のSSL証明書を使用します。この方法では、配信元サーバーでSSLを構成する際の多くの行き違いを軽減しながら、送信元からCloudflareへのトラフィックを保護します。証明書に認証機関の署名を得る代わりに、Cloudflareのダッシュボードで直接署名付き証明書を作成できます。

高度な設定オプション

カスタム証明書

Cloudflareは複数の顧客ドメインに共有されるSSL証明書を自動的にプロビジョニングします。BusinessおよびEnterpriseのお客様には、エンドユーザーに提示されるカスタムの専用SSL証明書をアップロードするオプションがあります。これにより、Extended Validation（EV）証明書およびOrganization Validated（OV）証明書の使用が可能になります。

Modern TLS Only

TLSおよびSSLの過去のすべてのバージョンには既知の脆弱性が存在するため、PCI 3.2準拠にはTLS 1.2または1.3が必要です。Cloudflareは、WebサイトからのすべてのHTTPSトラフィックをTLS 1.2または1.3経由で配信する「Modern TLS Only」オプションを提供します。

Opportunistic Encryption

日和見暗号化では、混合コンテンツやその他のレガシー問題のために、HTTPSにアップグレードできないものにHTTP専用ドメインを提供します。暗号化とWeb最適化機能のメリットは、TLSを使用する場合にのみ1行のコードも変更することなく利用できます。

TLSクライアント認証

CloudflareのMutual Auth（TLSクライアント認証）は、IoTデバイスやモバイルアプリなどを使用するクライアントとその配信元との間を安全に接続します。クライアントが配信元サーバーとの接続を確立しようとすると、Cloudflareはデバイスの証明書を検証して、エンドポイントへのアクセスが許可されていることを確認します。建物に入るために正しいキーが必要であるのと同様に、デバイスに有効なクライアント証明書がある場合に安全な接続を確立できます。デバイスの証明書がない場合、期限切れの場合、無効な場合は接続は取り消され、Cloudflareは403エラーを返します。

HSTS

HTTP Strict Transport Security（HSTS）プロトコルの対応は、Webサイト、API、モバイルアプリケーションのセキュリティを強化する最も簡単な方法です。HSTSは、配信元サーバーへのすべてのリクエストに対してクライアントの安全な接続の使用を促すHTTPプロトコルの拡張機能です。Cloudflareでは、ボタンをクリックするだけでHSTSに対応できます。

Automatic HTTPS Rewrites

Automatic HTTPS Rewritesは、既知の（安全な）ホストから安全性の低いURLを安全なURLに動的に書き換えることで、混合コンテンツの問題を安全に排除し、パフォーマンスとセキュリティを強化します。安全な接続を実行することで、Automatic HTTPS Rewritesにより、HTTPS経由でのみ利用可能な最新のセキュリティ標準とWeb最適化機能を利用できるようになります。

暗号化サーバー名インジケータ（SNI）

暗号化SNIは、TLSネゴシーション中にClientHelloメッセージで使用されるプレーンテキストの"server_name”拡張子を“encrypted_server_name”に置き換えます。この機能はTLS 1.3の機能拡張であり、訪問者とWebサイトの仲介者から宛先ホスト名を画することによってユーザーのプライバシーを強化します。

Geo Key Manager

Geo Key Managerでは、HTTPS接続を確立するために、どのCloudflareのデータセンターがプライベートキーにアクセスするかを選択できます。Cloudflareには、米国またはEUのデータセンター、およびCloudflareネットワークの最高のセキュリティデータセンターから選択できるオプションがあります。プライベートキーにアクセスできないデータセンターではTLSを終了することはできますが、プライベートキーを格納している最寄りのCloudflareデータセンターに通信する際には、わずかな初期遅延が発生します。

専用SSL証明書

TLS脆弱性への大規模な対応

Cloudflareのエンジニアは、何十億ものSSLリクエストを毎日処理しています。新たなセキュリティの脆弱性が発見された場合には、迅速な対応が必要です。多くの脆弱性は、Cloudflareの厳しいセキュリティ基準によりユーザーには影響を及ぼしません。以下に暗号化を解読する方法をいくつか紹介します。

Padding OraclesとCBC暗号スイートの拒否

2016年の初めに、わずか6か月でAEAD暗号のWebクライアントのサポートが50%未満から70%超に増加したことがわかりました。暗号ブロック連鎖が完全に安全であるとは考えられなくなった理由をご確認ください。

詳細はこちら

Logjam：最新のTLSの脆弱性について

Cloudflareのお客様は、Logjamの脆弱性の影響を受けませんでしたが、Logjamの仕組みを詳しく紹介する記事を掲載しています。

詳細はこちら

独自のパブリックキーインフラストラクチャの構築

Cloudflareは、独自の内部認証機関を使用して、データセンター間のすべてのトラフィックを暗号化します。Cloudflareは、独自のオープンソースPKIツールキットを構築しています。

詳細はこちら

Roughtimeプロトコルのサポート

認証済みタイムスタンプサービスを使用してTLS証明書エラーを減らすことにより、Webの安全性を高めます。

詳細はこちら

技術的な詳細

CloudflareのSSL無料ユーザーに最低限必要なブラウザーバージョン：

デスクトップブラウザー

Firefox 2
Windows Vistaの Internet Explorer 7
Windows Vista または OS X 10.6 と: Chrome 5.0.342.0、Opera 14、Safari 4

モバイルブラウザー

iOS 4.0のMobile Safari
Android 4.0 (Ice Cream Sandwich)
Windows Phone 7

注：

上に記載されているオペレーティングシステムは、最低限必要とされるバージョンです。Windows XP SP2やAndroid 3.0以前などの古いブラウザとの互換性が必要な場合は、Proプラン、Businessプラン、またはEnterpriseプランでSSLを使用してください。不明な点やご質問は、当社のFAQ（よくある質問）をご覧ください。