TLS 設定の5つのベストプラクティス

TLS は非常に重要ですが、それをマスターするのは、特に規模が大きい場合、経験豊富なエンジニアでも容易ではありません。そのため、Fastly には TLS の管理をサポートするチームが存在します。Fastly の TLS サポートエンジニアリングチームは、1つから何千もの証明書まで、お客様の証明書管理をサポートしています。多くのお客様のニーズに合わせて DNS と TLS の設定をカスタマイズしてきた経験から、私たちはいくつかのことを学びました。

この記事では、ワークフローに取り入れることで TLS 設定を最適化できる5つのベストプラクティスをご紹介します。

1. 可能な限り証明書/鍵のピン留めを避ける

セキュリティ専門家や認証局は、証明書のピン留めは一般に考えられているよりはるかに複雑であると警告しています。以前は証明書のピン留めを推奨している大手テック企業もありましたが、状況は変わりました。ピン留めにより、Web サイトは認証局を狙ったセキュリティ侵害や中間者攻撃のリスクをコントロールすることができます。ただし、適切に設定しないと Web サイトへのアクセスがブロックされる可能性があり、その解決に時間を消費する間、経済的損失も発生しかねません。

2. TLS に関する緊急時の社内プランを作成する

セキュリティ対策全般に言えることですが、常にバックアッププランを立てることをお勧めします。緊急時のベンダーへの連絡を含む、社内プランを作成しましょう。Fastly では以下を推奨しています。

• Fastly のサポートチームのメールアドレス (support@fastly.com) にいつでもアクセスできるようにします。

• メールの最初の行に「P1」と記入します。これは「優先順位1 (Priority 1)」の意味で、サポートチームによる素早い対応を促します。

• 問題を迅速に解決できるよう、詳細をメールに記入します。これには、証明書の ID、TLS 設定、影響を受ける可能性があるすべてのドメイン名が含まれます。これらの情報が一目でわかる形で提供されると、迅速な対応が可能になります。

ここでは Fastly のケースを例に挙げていますが、上記のアドバイスはどの企業でも実行可能です。

3. 週の始めに変更を実施する

証明書が失効する際、またはサブジェクトの別名 (SAN) の更新やコモンネームの変更を行う必要がある場合、トラフィックを保護し続けるために新しい証明書をアップロードしなければなりません。その際、変更を TLS サポートエンジニアリングチームが行う場合でも、または自分でする場合でも、時間に余裕を持って実施することが重要です。金曜日になって変更を本番環境にプッシュすると、キャパシティの少ない待機チームが問題に遭遇するというリスクがあります。週の始めに変更を実施することで、問題が発生した場合にフルメンバーのチームで対応できます。

4. TLS のユーザーインターフェイスを理解する

使用するプロダクトを理解することが重要です。Fastly では TLS ソリューションに関する豊富なドキュメントを提供していますが、Fastly TLS のユーザーインターフェイス (UI) は非常にユーザーフレンドリーです。UI を理解し、重要な用語を学ぶことで、DNS や TLS のプロセスを合理化できます。

以下は Fastly TLS の UI で重要な用語です。

• Fastly 証明書 ID : 証明書の特定を可能にする ID 番号で、固有の数字と文字の組み合わせで構成されます。証明書のコモンネームや証明書に含まれる SAN リストで証明書を指定することで生じる混乱を回避します。

• TLS 設定 : CNAME、エニーキャストレコード、プロトコール、TLS バージョンなどに関するデータを確認できます。Fastly のサポートが必要な場合、TLS 設定に固有の名前を付け、チケットに名前を含むことで、当社のサポートチームはすぐにその設定を特定し、迅速に対応することができます。

5. Fastly チームに連絡する

Fastly への連絡方法 : support@fastly.com に連絡する際、TLS サポートエンジニアリングチームに問題を知らせる一文を含むようにしてください。これにより、チケットの提出後、すぐに専門のチームが問題の解決に取り組むことができます。

これらのベストプラクティスを実行することで、TLS 設定を合理化できます。Fastly TLS をぜひお試しください。Fastly のセキュリティソリューションや TLS プロダクトの詳細については、Fastly のセキュリティドキュメントをご覧ください。