こんにちは駆け出しアーキテクトのやまぱんです。
今回は Azure Portal との https 通信で使われる暗号スイートを確認してみます。
実際にアクセスしてブラウザで確認する。
今回はEdgeの場合ですが、Chromeでも開発者ツールはあるのでほぼ同じことができるはず。
"F12" を押して開発者ツールを開く → "+" を押す→ "セキュリティ"
すると下記のような画面になります。
接続で使われている暗号スイートが確認できます。
私の環境では下記の暗号スイートで Azure Portal と通信していることが分かりました。
プロトコル TLS 1.2
キー交換 ECDHE_RSA with P-384
サーバーの署名 RSA-PSS with SHA-256
暗号 AES_256_GCM
どの暗号スイートで通信されるかはOSバージョンなどクライアントの環境によって異なりますので、実際に確認してみてください。
つぎに Azure Portal が対応している暗号スイートを確認してみたいと思います。
Azure Portal が対応している暗号スイートを確認する
方法はいくつかありますが、まずはSSL Labs を利用してみます。
SSL labs を使う
・SSL labs
https://www.ssllabs.com/ssltest/
ここにURLを入れてテストするだけです。結果がでてCipher Suites(暗号スイート)の箇所を確認します。
実際に確認してみます。
URL: SSL Server Test: portal.azure.com (Powered by Qualys SSL Labs)
namp を使う
下記のコマンドを実施します。
nmap --script ssl-enum-ciphers -p 443 portal.azure.com
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| compressors: | NULL | cipher preference: server |_ least strength: A
nmap が入っていなければ適宜インストール
Ubuntu の時の例
下記コマンドで実施します。
sudo snap install nmap
余談: Azure Portal は Azure Front Door ?
実は、Azure Portal のIPアドレスは今現在Azure Front Door を経由してます。
(nslookup/名前解決して出てきたIPアドレスを確認するとAzure Front Door のIPアドレスレンジに含まれていることがわかります。)
特定のサービスのIPアドレスレンジの確認はこちらの Microsoft Public IP Space の json からできます。
そのため、Azure Front Door でサポートされている暗号スイートと同じと考えることもできます。
実際に公式Docsを確認すると以下の通り、確認した結果と同じであることが分かります。
・Azure Front Door :サポートされている暗号スイート
https://learn.microsoft.com/ja-jp/azure/frontdoor/end-to-end-tls?pivots=front-door-standard-premium#supported-cipher-suites
TLS 1.2 では、次の暗号スイートがサポートされています。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
あくまでも今現在の仕様であり、公式に公開されているものでもないです。
そのためこの仕様は予告なく変わる可能性があります。
なのでその都度、ご紹介した方法で実際に確認されるのがよいかと思います。
参考
・【PKI 応用】暗号スイート (cipher suite) とは
https://pkiwithadcs.com/cipher_suite/
・Azure 公開キーの暗号化と署名アルゴリズム
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/azure-ca-details#public-key-encryption-and-signature-algorithms
・Windows OSごとの TLS/SSL の暗号スイート (Schannel SSP)
https://learn.microsoft.com/ja-jp/windows/win32/secauthn/cipher-suites-in-schannel