LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@Keiji_otsubo(Keiji Otsubo)

Enhanced Domain & TLS Version 1.3

Posted at

私はまだ1.3は機能していないと思っていますが... よくわかりませんね。何の話をしているんだろう。

アイデア:Enable TLS 3 for Salesforce

API 接続は、 MyDomainName.my.site.comまたはExperienceCloudSubdomain.force.comのようなホスト名ですか? その場合、拡張ドメインは、TLS 1.2 と TLS 1.3 の両方が有効になっている CDN を使用するMyDomainName.my.site.comにリダイレクトされます。TLS 1.2 のみをサポートする API クライアントは動作すると予想されます。

ただし、Salesforce の CDN 構成で問題を引き起こす可能性がある側面の 1 つは、暗号スイートの選択です。Salesforce の CDN 設定は、特定の ECDHE 暗号スイートのみをサポートし、RSA キー交換を使用する暗号スイートはサポートしません。これについてはhttps://www.ssllabs.com/ssltest/analyze.html?d=tls1test.my.site.com&s=で確認できます。23.1.237.96。安全な ECDHE 暗号スイート、特に次の少なくとも 1 つを必ず有効にしてください。

TLS 1.2 (サーバーの優先順にスイート)

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) ECDH secp256r1 (3072 ビット RSA 相当) FS 256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) ECDH secp256r1 (3072 ビット RSA 相当) FS 128
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (3072 ビット RSA 相当) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (3072 ビット RSA 相当) FS 128
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9) ECDH secp256r1 (3072 ビット RSA 相当) FS 256P
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8) ECDH secp256r1 (3072 ビット RSA 相当) FS 256P

(P) このサーバーは、AES-NI を持たないクライアント (Android デバイスなど) を使用する ChaCha20 スイートを優先します。

TLS 1.3 をサポートしている場合、この投稿の時点で TLS 1.3 でサポートされている暗号スイートは次のとおりです。

TLS 1.3 (サーバーの優先順にスイート)

TLS_AES_256_GCM_SHA384 (0x1302) ECDH x25519 (3​​072 ビット RSA 相当) FS 256
TLS_CHACHA20_POLY1305_SHA256 (0x1303) ECDH x25519 (3​​072 ビット RSA に相当) FS 256P
TLS_AES_128_GCM_SHA256 (0x1301) ECDH x25519 (3​​072 ビット RSA 相当) FS 128

Salesforce の他のエンドポイントは現在も RSA キー交換を最も優先度の低い暗号スイートとしてサポートしていますが、MyDomainName.my.site.comでは RSA キー交換のサポートがオフになっています。

必要に応じて、特定の組織に対してMyDomainName.my.site.comの CDN アクセラレーションをオフにするよう Salesforce サポートにリクエストすることが考えられます。これにより、Salesforce は通常、RSA キー交換をより一般的に段階的に廃止する予定であるため、一時的な措置として、MyDomainName.my.site.comで RSA キー交換を利用できるようになります。

https://learn.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel?redirectedfrom=MSDNから、古い Windows Server バージョンでは ECDHE 暗号スイートがサポートされていることがわかります。ただし、SHA-2 256 または SHA-2 384 のハッシュ強度と GCM または POLY1305 をサポートする必要があり、これらすべての組み合わせのサポートは Windows で開始されているようです。 Server 2016 および Windows 10 バージョン 1607。

Windows Server 2012 R2 では、サポートがかなり近づいていますが、RSA 証明書の代わりに ECDSA 証明書が使用され、*. my.site.com HTTPS 証明書は ECDSA ではなく RSA を使用します。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?