[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 暗号仕様

SSL 接続が確立している場合、クライアント (Web ブラウザー) および Web サーバーは、接続に使用する暗号について折衝します。Web サーバーには暗号の番号付きリストがあり、クライアントでサポートされている最初の暗号がこのリストで選択されています。

概要

現在の SSL 暗号のリストを表示します。
重要: この暗号のリストは、業界標準の更新を受けて変更される可能性があります。特定のバージョンの IBM® HTTP Server でサポートされている暗号のリストを確認するには、mod_ibm_ssl をロードするように IBM HTTP Server を構成して、bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS を実行します。

SSLFIPSEnable ディレクティブは、 連邦情報処理標準 (FIPS) を使用可能にします。SSLFIPSEnable ディレクティブが使用可能になっている場合、使用可能な暗号のセットは以下に示されるように制限され、SSLv2 および SSLv3 は使用不可になります。

トラブルの回避 (Avoid trouble) トラブルの回避 (Avoid trouble):
  • 名前に「ECDHE」が含まれる暗号は、8.5.0.2/8.0.0.6 およびそれ以降でのみ使用可能です。
  • 名前に「ECDHE」が含まれる暗号は、明示的に使用可能にされなければならず、「ロング・ネーム」によって使用可能にされる必要があります。
  • 名前に「ECDHE_RSA」が含まれる暗号は、標準の RSA 証明書を使用し、古い RSA 暗号およびクライアントと共存できます。
  • 名前に「ECDHE_ECDSA」が含まれる暗号の場合は、ECC (Elliptic Curve Cryptography) 証明書/鍵を作成する必要があります (分散プラットフォーム上で稼働している場合は gskcapicmd、z/OS® 上で稼働している場合は gskkyman を使用して作成)。
  • [z/OS]z/OS の場合、「ECDHE」暗号を使用するには、いくつかの基準を満たす必要があります。
    • SSLProtocolEnable ディレクティブを使用して、TLSv1.2 が明示的に使用可能にされる必要があります。
    • z/OS 上で TLSv1.2 を使用するには、OA39422 が適用された z/OS V1R13 またはそれ以降が必要です。
    • ECC または AES-GCM 暗号を使用するには、ICSF が使用可能でなければなりません。詳しくは、「z/OS Cryptographic Services System SSL プログラミング」の『RACF® CSFSERV のリソース要件』を参照してください。
gotcha

SSL および TLS 暗号

重要: SSL および TLS 暗号の以下の値に注意してください。
  • - = プロトコルに対して無効な暗号
  • d = 暗号はデフォルトで使用可能
  • y = 暗号は有効だが、デフォルトでは使用可能になっていない
重要: TLS v1.1 および v1.2 は、以下の 2 つの条件が満たされた場合を除いて、z/OS オペレーティング・システムでは使用できません。
  • OA39422 が適用された z/OS V1R13 またはそれ以降が必要です。
  • SSLProtocolEnable TLSv1.1 TLSv1.2 を指定するように IBM HTTP Server 構成を更新する必要があります。
移行ユーザーの方へ 移行ユーザーの方へ: セキュリティーを強化するため、IBM HTTP Server Version 8.0 では強度の低い SSL 暗号、エクスポート SSL 暗号、および SSL バージョン 2 プロトコルはデフォルトで使用不可になっています。SSL バージョン 2、強度の低い暗号、およびエクスポート暗号は一般に、インターネット上の実動 SSL ワークロードには不適切であり、セキュリティー・スキャナーによって警告されます。暗号を使用可能にするには、SSLCipherSpec ディレクティブを使用します。trns
表 1. 中強度および高強度の TLS 暗号
ショート・ネーム ロング・ネーム 鍵サイズ (ビット) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - Y Y Y Y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - Y Y Y -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 Y - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 Y - Y d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 Y - Y d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - Y d d d
C007 TLS_ECDHE_ECDSA_WITH_RC4_128_SHA 128 Y - - - - d*
C008 TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C010 TLS_ECDHE_RSA_WITH_NULL_SHA 0 Y - - - - d*
C011 TLS_ECDHE_RSA_WITH_RC4_128_SHA 128 Y - - - - d*
C012 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - - - - d*
C013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 128 Y - - - - d*
C014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 256 Y - - - - d*
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d*
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 Y - - - - d*
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d*
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d*
重要: * は、SSLv3 がデフォルトで使用不可になっていることを示しています。
注: ECDHE 暗号は、z/OS プラットフォームの場合を除き、TLSv1.2 にデフォルトで使用可能になっています (d* で示されています)。

強度の低い暗号 (デフォルトで使用可能に設定されていないもの) は以下のとおりです。

表 2. その他の TLS 暗号
ショート・ネーム ロング・ネーム 鍵サイズ (ビット) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 Y - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -

トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=rihs_ciphspec
ファイル名:rihs_ciphspec.html