適用対象: ✔️ Front Door Standard ✔️ Front Door Premium
Azure Front Door では、 エンド ツー エンドの TLS 暗号化がサポートされています。 Azure Front Door にカスタム ドメインを追加する場合、HTTPS が必要であり、TLS ハンドシェイク中に TLS プロトコル バージョンと暗号スイートの制御を含む TLS ポリシーを定義する必要があります。
Azure Front Door では、TLS バージョン 1.2 と 1.3 の 2 つのバージョンの TLS プロトコルがサポートされています。 現在、Azure Front Door では、クライアント/相互認証 (mTLS) はサポートされていません。
注
2025 年 3 月 1 日の時点で、Azure Front Door では TLS 1.0 と 1.1 の最小バージョンは許可されていません。
Azure Front Door Standard と Premium には、TLS ポリシーを制御するための 2 つのメカニズムが用意されています。 独自のニーズに応じて、定義済みのポリシーまたはカスタム ポリシーを使用できます。 Azure Front Door (クラシック) と Microsoft CDN (クラシック) を使用する場合は、引き続き TLS 1.2 の最小バージョンを使用します。
- Azure Front Door には、定義済みの TLS ポリシーがいくつか用意されています。 これらのポリシーのいずれかを使用して AFD を構成して、適切なレベルのセキュリティを取得できます。 これらの定義済みポリシーは、Microsoft セキュリティ チームからのベスト プラクティスと推奨事項を念頭に置いて構成されています。 最新の TLS ポリシーを使用して、最高レベルの TLS セキュリティを設定することをお勧めします。
- 独自のビジネス要件とセキュリティ要件に合わせて TLS ポリシーを構成する必要がある場合は、カスタム TLS ポリシーを使用できます。 カスタム TLS ポリシーを使用すると、サポートする TLS プロトコルの最小バージョンと、サポートされる暗号スイートを完全に制御できます。
TLS バージョン 1.2 以降では、ネゴシエーションは TLS 1.3 と TLS 1.2 の確立を試みます。 クライアントは、Azure Front Door との HTTPS 接続を確立するために、サポートされている暗号の少なくとも 1 つをサポートする必要があります。 Azure Front Door は、クライアントがサポートする暗号から一覧に示されている順序で暗号を選択します。
Azure Front Door では、配信元への TLS トラフィックを開始すると、配信元が確実かつ一貫して受け入れることができる最適な TLS バージョンのネゴシエーションを試行します。 配信元接続でサポートされている TLS バージョンは、TLS 1.2 と TLS 1.3 です。
注
TLS 1.3 を有効にしたクライアントでは、TLS 1.3 を使用して Azure Front Door で要求を正常に行うために、Secp384r1、Secp256r1、Secp521 など、Microsoft SDL 準拠の EC 曲線のいずれかをサポートする必要があります。 サポートされている EC 曲線をネゴシエートするために複数のラウンド トリップが発生する原因となる TLS ハンドシェイクの待ち時間の増加を回避するために、クライアントでは要求時にこれらの曲線のいずれかを優先曲線として使用することをお勧めします。
定義済み TLS ポリシー
Azure Front Door には、定義済みの TLS ポリシーがいくつか用意されています。 これらのポリシーのいずれかを使用して AFD を構成して、適切なレベルのセキュリティを取得できます。 ポリシー名には、TLS の最小バージョンと構成された年 (TLSv1.2_2023>) で注釈が付いています。 各ポリシーでは、それぞれ異なる TLS プロトコルのバージョンおよび/または暗号スイートが提供されます。 これらの定義済みポリシーは、Microsoft セキュリティ チームからのベスト プラクティスと推奨事項を念頭に置いて構成されています。 最新の TLS ポリシーを使用して、最高レベルの TLS セキュリティを設定することをお勧めします。
次のテーブルは、各定義済みポリシーの暗号スイートと最小プロトコル バージョンのサポート リスト を示しています。 暗号スイートの順位により、TLS ネゴシエーション中の優先順位が決定します。
既定では、TLSv1.2_2023が選択されます。 TLSv1.2_2022は、以前の設計の最小 TLS 1.2 バージョンにマップされます。 読み取り専用の TLSv1.0/1.1_2019 が表示される場合があります。これは、TLS 1.2 の最小バージョンに明示的に切り替えないため、これまでの設計では TLS 1.0/1.1 の最小バージョンにマップされます。 このような TLSv1.0/1.1_2019 ポリシーは、2025 年 4 月に削除され、無効になります。
| OpenSSL | 暗号スイート | TLSv1.2_2023 | TLSv1.2_2022 |
|---|---|---|---|
| 最小プロトコル バージョン | 1.2 | 1.2 | |
| サポートされるプロトコル | 1.3/1.2 | 1.3./1.2 | |
| TLS_AES_256_GCM_SHA384 | TLS_AES_256_GCM_SHA384 | イエス | イエス |
| TLS_AES_128_GCM_SHA256 | TLS_AES_128_GCM_SHA256 | イエス | イエス |
| ECDHE-RSA-AES256-GCM-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | イエス | イエス |
| ECDHE-RSA-AES128-GCM-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | イエス | イエス |
| DHE-RSA-AES256-GCM-SHA384 | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 | イエス | |
| DHE-RSA-AES128-GCM-SHA256 | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 | イエス | |
| ECDHE-RSA-AES256-SHA384 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | イエス | |
| ECDHE-RSA-AES128-SHA256 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | イエス |
カスタム TLS ポリシー
お客様の要件に合わせて TLS ポリシーを構成する必要がある場合、カスタム TLS ポリシーを使用できます。 カスタム TLS ポリシーを使用すると、サポートする TLS プロトコルの最小バージョンと、サポートされる暗号スイートとその優先順位を完全に制御できます。
注
TLS 1.3 は、有効になっている最小バージョンに関係なく、常に有効になります。
暗号スイート
Azure Front Door では、カスタム ポリシーを選択できる次の暗号スイートがサポートされています。 暗号スイートの順位により、TLS ネゴシエーション中の優先順位が決定します。
- TLS_AES_256_GCM_SHA384 (TLS 1.3 のみ)
- TLS_AES_128_GCM_SHA256 (TLS 1.3 のみ)
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
注
Windows 10 以降に関しては、より良いセキュリティのために 1 つまたは両方の ECDHE_GCM 暗号スイートを有効化することを推奨します。 Windows 8.1、8、7 は、これらの ECDHE_GCM 暗号スイートと互換性がありません。 これらのオペレーティング システムとの互換性のために、ECDHE_CBC および DHE 暗号スイートが提供されています。