マネージド証明書をご利用の環境において、特定のTLSバージョン(例:TLS 1.2以下など)による接続を制限したい場合は、VCLスニペットを設定することで制御が可能です。
以下に、TLS 1.2未満の接続を制限する設定例を記載します。
条件式の数値を変更することで、お客さまの環境に合わせたカスタマイズが可能です。
■設定内容
設定画面にて以下の通り入力してください。
配置場所:指定 / recv (vcl_recv)
VCL:
# 特定のTLSバージョン以外(例:TLS 1.2および1.3以外)の接続を拒否する
if (! (tls.client.protocol == "TLSv1.2" || tls.client.protocol == "TLSv1.3")) {
# 403 Forbidden を返し、アクセスを遮断します
error 403 "TLS 1.2 or higher is required.";
}
■動作確認方法
設定後、curlコマンド等を用いて、制限対象のバージョンで正しく拒否されるか、および許可したいバージョンで正常に接続できるかをご確認ください。
・TLS 1.1での接続(拒否されることを確認)
curl -v --tlsv1.1 --tls-max 1.1 https://example.com
※403エラーが返却されます。
・TLS 1.2での接続(成功することを確認)
curl -v --tlsv1.2 https://example.com
※正常に接続されます。
変数の詳細な仕様については、以下のドキュメントをご参照ください。
▼Fastly Documentation「tls.client.protocol」
https://www.fastly.com/documentation/reference/vcl/variables/client-connection/tls-client-protocol/
※弊社管理外のサイトです。
注意事項)
VCLスニペットの設定変更は通信に直接影響を与えます。
設定を適用する際は、事前にお客さまにて十分な動作確認を行い、お客さまの責任において実施いただくようお願いいたします。