![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
SSL 暗号仕様
SSL 接続が確立している場合、クライアント (Web ブラウザー) および Web サーバーは、接続に使用する暗号について折衝します。Web サーバーには暗号の番号付きリストがあり、クライアントでサポートされている最初の暗号がこのリストで選択されています。
概要
現在の SSL 暗号のリストを表示します。
重要: この暗号のリストは、業界標準の更新を受けて変更される可能性があります。特定のバージョンの IBM® HTTP Server でサポートされている暗号のリストを確認するには、mod_ibm_ssl をロードするように IBM HTTP Server を構成して、bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS を実行します。
SSLFIPSEnable ディレクティブは、 連邦情報処理標準 (FIPS) を使用可能にします。SSLFIPSEnable ディレクティブが使用可能になっている場合、使用可能な暗号のセットは以下に示されるように制限され、SSLv2 および SSLv3 は使用不可になります。

- 名前に「ECDHE」が含まれる暗号は、8.5.0.2/8.0.0.6 およびそれ以降でのみ使用可能です。
- 名前に「ECDHE」が含まれる暗号は、明示的に使用可能にされなければならず、「ロング・ネーム」によって使用可能にされる必要があります。
- 名前に「ECDHE_RSA」が含まれる暗号は、標準の RSA 証明書を使用し、古い RSA 暗号およびクライアントと共存できます。
- 名前に「ECDHE_ECDSA」が含まれる暗号の場合は、ECC (Elliptic Curve Cryptography) 証明書/鍵を作成する必要があります (分散プラットフォーム上で稼働している場合は gskcapicmd、z/OS® 上で稼働している場合は gskkyman を使用して作成)。
z/OS の場合、「ECDHE」暗号を使用するには、いくつかの基準を満たす必要があります。
- SSLProtocolEnable ディレクティブを使用して、TLSv1.2 が明示的に使用可能にされる必要があります。
- z/OS 上で TLSv1.2 を使用するには、OA39422 が適用された z/OS V1R13 またはそれ以降が必要です。
- ECC または AES-GCM 暗号を使用するには、ICSF が使用可能でなければなりません。詳しくは、「z/OS Cryptographic Services System SSL プログラミング」の『RACF® CSFSERV のリソース要件』を参照してください。
SSL および TLS 暗号
重要: SSL および TLS 暗号の以下の値に注意してください。
- - = プロトコルに対して無効な暗号
- d = 暗号はデフォルトで使用可能
- y = 暗号は有効だが、デフォルトでは使用可能になっていない
重要: TLS v1.1 および v1.2 は、以下の 2 つの条件が満たされた場合を除いて、z/OS オペレーティング・システムでは使用できません。
- OA39422 が適用された z/OS V1R13 またはそれ以降が必要です。
- SSLProtocolEnable TLSv1.1 TLSv1.2 を指定するように IBM HTTP Server 構成を更新する必要があります。

ショート・ネーム | ロング・ネーム | 鍵サイズ (ビット) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
35 | SSL_RSA_WITH_RC4_128_SHA | 128 | - | - | Y | Y | Y | Y |
34 | SSL_RSA_WITH_RC4_128_MD5 | 128 | - | - | Y | Y | Y | - |
9C | TLS_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d |
9D | TLS_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d |
3C | TLS_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d |
3D | TLS_RSA_WITH_AES_256_CBC_SHA256 | 256 | Y | - | - | - | - | d |
2F | TLS_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | Y | d | d | d |
35b | TLS_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | Y | d | d | d |
3A | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | Y | d | d | d |
C007 | TLS_ECDHE_ECDSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C008 | TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C009 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C00A | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C010 | TLS_ECDHE_RSA_WITH_NULL_SHA | 0 | Y | - | - | - | - | d* |
C011 | TLS_ECDHE_RSA_WITH_RC4_128_SHA | 128 | Y | - | - | - | - | d* |
C012 | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA | 168 | Y | - | - | - | - | d* |
C013 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 128 | Y | - | - | - | - | d* |
C014 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 256 | Y | - | - | - | - | d* |
C023 | TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C024 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C027 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 128 | Y | - | - | - | - | d* |
C028 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 256 | Y | - | - | - | - | d* |
C02B | TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C02C | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
C02F | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 128 | Y | - | - | - | - | d* |
C030 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 256 | Y | - | - | - | - | d* |
重要: * は、SSLv3 がデフォルトで使用不可になっていることを示しています。
注: ECDHE 暗号は、z/OS プラットフォームの場合を除き、TLSv1.2 にデフォルトで使用可能になっています (d* で示されています)。
強度の低い暗号 (デフォルトで使用可能に設定されていないもの) は以下のとおりです。
ショート・ネーム | ロング・ネーム | 鍵サイズ (ビット) | FIPS | SSLV2 | SSLV3 | TLSv10 | TLSv11 | TLSv12 |
---|---|---|---|---|---|---|---|---|
39 | SSL_RSA_WITH_DES_CBC_SHA | 56 | - | - | y | y | y | - |
33 | SSL_RSA_EXPORT_WITH_RC4_40_MD5 | 40 | - | - | y | y | - | - |
36 | SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 | 40 | - | - | y | y | - | - |
62 | TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA | 56 | - | - | y | y | - | - |
64 | TLS_RSA_EXPORT1024_WITH_RC4_56_SHA | 56 | - | - | y | y | - | - |
32 | SSL_RSA_WITH_NULL_SHA | 0 | - | - | y | y | y | y |
31 | SSL_RSA_WITH_NULL_MD5 | 0 | - | - | y | y | y | - |
3B | TLS_RSA_WITH_NULL_SHA256 | 0 | Y | - | - | - | - | y |
30 | SSL_NULL_WITH_NULL_NULL | 0 | - | - | y | y | y | y |
27 | SSL_DES_192_EDE3_CBC_WITH_MD5 | 168 | - | y | - | - | - | - |
21 | SSL_RC4_128_WITH_MD5 | 128 | - | y | - | - | - | - |
23 | SSL_RC2_CBC_128_CBC_WITH_MD5 | 128 | - | y | - | - | - | - |
26 | SSL_DES_64_CBC_WITH_MD5 | 56 | - | y | - | - | - | - |
24 | SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
22 | SSL_RC4_128_EXPORT40_WITH_MD5 | 40 | - | y | - | - | - | - |
FE | SSL_RSA_FIPS_WITH_DES_CBC_SHA | 56 | - | - | - | - | - | - |
FF | SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA | 168 | - | - | - | - | - | - |