LoginSignup
5
3

More than 1 year has passed since last update.

@aktsmm(yamapan)inMicrosoft

Azure Portal との https 通信の暗号スイートを確認する

Last updated at Posted at 2023-04-19

こんにちは駆け出しアーキテクトのやまぱんです。
今回は Azure Portal との https 通信で使われる暗号スイートを確認してみます。

実際にアクセスしてブラウザで確認する。

今回はEdgeの場合ですが、Chromeでも開発者ツールはあるのでほぼ同じことができるはず。
"F12" を押して開発者ツールを開く → "+" を押す→ "セキュリティ"
image.png

すると下記のような画面になります。

image.png

URL部分をクリックすると
image.png

接続で使われている暗号スイートが確認できます。
私の環境では下記の暗号スイートで Azure Portal と通信していることが分かりました。

プロトコル TLS 1.2
キー交換 ECDHE_RSA with P-384
サーバーの署名 RSA-PSS with SHA-256
暗号 AES_256_GCM

どの暗号スイートで通信されるかはOSバージョンなどクライアントの環境によって異なりますので、実際に確認してみてください。

つぎに Azure Portal が対応している暗号スイートを確認してみたいと思います。

Azure Portal が対応している暗号スイートを確認する

方法はいくつかありますが、まずはSSL Labs を利用してみます。

SSL labs を使う

・SSL labs
https://www.ssllabs.com/ssltest/

ここにURLを入れてテストするだけです。結果がでてCipher Suites(暗号スイート)の箇所を確認します。
image.png

実際に確認してみます。
URL: SSL Server Test: portal.azure.com (Powered by Qualys SSL Labs)
image.png

namp を使う

下記のコマンドを実施します。

nmap --script ssl-enum-ciphers -p 443 portal.azure.com
  • 実行結果
    image.png 
443/tcp open https 
| ssl-enum-ciphers: 
| TLSv1.2: 
| ciphers: 
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A 
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - A 
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A 
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A 
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A 
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A 
| compressors: | NULL | cipher preference: server |_ least strength: A
nmap が入っていなければ適宜インストール

Ubuntu の時の例
下記コマンドで実施します。

sudo snap install nmap

image.png

余談: Azure Portal は Azure Front Door ?

実は、Azure Portal のIPアドレスは今現在Azure Front Door を経由してます。
(nslookup/名前解決して出てきたIPアドレスを確認するとAzure Front Door のIPアドレスレンジに含まれていることがわかります。)

特定のサービスのIPアドレスレンジの確認はこちらの Microsoft Public IP Space の json からできます。

そのため、Azure Front Door でサポートされている暗号スイートと同じと考えることもできます。

実際に公式Docsを確認すると以下の通り、確認した結果と同じであることが分かります。
・Azure Front Door :サポートされている暗号スイート
https://learn.microsoft.com/ja-jp/azure/frontdoor/end-to-end-tls?pivots=front-door-standard-premium#supported-cipher-suites

TLS 1.2 では、次の暗号スイートがサポートされています。

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

あくまでも今現在の仕様であり、公式に公開されているものでもないです。
そのためこの仕様は予告なく変わる可能性があります。
なのでその都度、ご紹介した方法で実際に確認されるのがよいかと思います。

参考

・【PKI 応用】暗号スイート (cipher suite) とは
https://pkiwithadcs.com/cipher_suite/

・Azure 公開キーの暗号化と署名アルゴリズム
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/azure-ca-details#public-key-encryption-and-signature-algorithms

・Windows OSごとの TLS/SSL の暗号スイート (Schannel SSP)
https://learn.microsoft.com/ja-jp/windows/win32/secauthn/cipher-suites-in-schannel

5
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
3