[AIX Solaris HP-UX Linux Windows][z/OS]

SSL 暗号仕様

SSL 接続が確立している場合、クライアント (Web ブラウザー) および Web サーバーは、接続に使用する暗号について折衝します。Web サーバーには暗号の番号付きリストがあり、クライアントでサポートされている最初の暗号がこのリストで選択されています。

概要

現在の SSL 暗号のリストを表示します。
重要: この暗号のリストは、業界標準の更新を受けて変更される可能性があります。特定のバージョンの IBM HTTP Server でサポートされている暗号のリストを確認するには、mod_ibm_ssl をロードするように IBM HTTP Server を構成して、bin/apachectl -t -f path/to/httpd.conf -DDUMP_SSL_CIPHERS を実行します。

SSLFIPSEnable ディレクティブは、 連邦情報処理標準 (FIPS) を使用可能にします。SSLFIPSEnable ディレクティブが使用可能になっている場合、使用可能な暗号のセットは以下に示されるように制限され、SSLv2 および SSLv3 は使用不可になります。

[8.5.0.2 or later] トラブルの回避 トラブルの回避:
  • 名前に「ECDHE」が含まれる暗号は、8.5.0.2/8.0.0.6 およびそれ以降でのみ使用可能です。
  • 名前に「ECDHE」が含まれる暗号は、明示的に使用可能にされなければならず、「ロング・ネーム」によって使用可能にされる必要があります。
  • 名前に「ECDHE_RSA」が含まれる暗号は、標準の RSA 証明書を使用し、古い RSA 暗号およびクライアントと共存できます。
  • 名前に「ECDHE_ECDSA」が含まれる暗号の場合は、ECC (Elliptic Curve Cryptography) 証明書/鍵を作成する必要があります (分散プラットフォーム上で稼働している場合は gskcapicmd、z/OS 上で稼働している場合は gskkyman を使用して作成)。
  • z/OS の場合、「ECDHE」暗号を使用するには、いくつかの基準を満たす必要があります。
    • SSLProtocolEnable ディレクティブを使用して、TLSv1.2 が明示的に使用可能にされる必要があります。
    • z/OS 上で TLSv1.2 を使用するには、OA39422 が適用された z/OS V1R13 またはそれ以降が必要です。
    • ECC または AES-GCM 暗号を使用するには、ICSF が使用可能でなければなりません。詳しくは、「z/OS Cryptographic Services System Secure Sockets Layer プログラミング」の『RACF CSFSERV のリソース要件』を参照してください。
gotcha

SSL および TLS 暗号

重要: SSL および TLS 暗号の以下の値に注意してください。
  • - = プロトコルに対して無効な暗号
  • d = 暗号はデフォルトで使用可能
  • y = 暗号は有効だが、デフォルトでは使用可能になっていない
[8.5.0.2 or later] 重要: TLS v1.1 および v1.2 は、以下の 2 つの条件が満たされた場合を除いて、z/OS® オペレーティング・システムでは使用できません。
  • OA39422 が適用された z/OS V1R13 またはそれ以降が必要です。
  • IHS 構成は、「SSLProtocolEnable TLSv1.1 TLSv1.2」を指定するように更新される必要があります。
移行ユーザーの場合 移行ユーザーの場合: セキュリティーを強化するため、IBM HTTP Server Version 8.0 では強度の低い SSL 暗号、エクスポート SSL 暗号、および SSL バージョン 2 プロトコルはデフォルトで使用不可になっています。SSL バージョン 2、強度の低い暗号、およびエクスポート暗号は一般に、インターネット上の実動 SSL ワークロードには不適切であり、セキュリティー・スキャナーによって警告されます。暗号を使用可能にするには、SSLCipherSpec ディレクティブを使用します。trns

[8.5.0.2 or later] [Updated in February 2014]
表 1. 中強度および高強度の TLS 暗号
ショート・ネーム ロング・ネーム 鍵サイズ (ビット) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
ショート・ネーム ロング・ネーム 鍵サイズ (ビット) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
35 SSL_RSA_WITH_RC4_128_SHA 128 - - d d d y
34 SSL_RSA_WITH_RC4_128_MD5 128 - - d d d -
9C TLS_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - d
9D TLS_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - d
3C TLS_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - d
3D TLS_RSA_WITH_AES_256_CBC_SHA256 256 Y - - - - d
2F TLS_RSA_WITH_AES_128_CBC_SHA 128 Y - d d d d
35b TLS_RSA_WITH_AES_256_CBC_SHA 256 Y - d d d d
3A SSL_RSA_WITH_3DES_EDE_CBC_SHA 168 Y - d d d d
C023 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 128 Y - - - - y
C024 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 256 Y - - - - y
C027 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 128 Y - - - - y
C028 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 256 Y - - - - y
C02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 Y - - - - y
C02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 256 Y - - - - y
C02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 128 Y - - - - y
C030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 Y - - - - y
[Updated in February 2014]

強度の低い暗号 (デフォルトで使用可能に設定されていないもの) は以下のとおりです。


[8.5.0.2 or later] [Updated in February 2014]
表 2. その他の TLS 暗号
ショート・ネーム ロング・ネーム 鍵サイズ (ビット) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
ショート・ネーム ロング・ネーム 鍵サイズ (ビット) FIPS SSLV2 SSLV3 TLSv10 TLSv11 TLSv12
39 SSL_RSA_WITH_DES_CBC_SHA 56 - - y y y -
33 SSL_RSA_EXPORT_WITH_RC4_40_MD5 40 - - y y - -
36 SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5 40 - - y y - -
62 TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA 56 - - y y - -
64 TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 56 - - y y - -
32 SSL_RSA_WITH_NULL_SHA 0 - - y y y y
31 SSL_RSA_WITH_NULL_MD5 0 - - y y y -
3B TLS_RSA_WITH_NULL_SHA256 0 Y - - - - y
30 SSL_NULL_WITH_NULL_NULL 0 - - y y y y
27 SSL_DES_192_EDE3_CBC_WITH_MD5 168 - y - - - -
21 SSL_RC4_128_WITH_MD5 128 - y - - - -
23 SSL_RC2_CBC_128_CBC_WITH_MD5 128 - y - - - -
26 SSL_DES_64_CBC_WITH_MD5 56 - y - - - -
24 SSL_RC2_CBC_128_CBC_EXPORT40_WITH_MD5 40 - y - - - -
22 SSL_RC4_128_EXPORT40_WITH_MD5 40 - y - - - -
FE SSL_RSA_FIPS_WITH_DES_CBC_SHA 56 - - - - - -
FF SSL_RSA_FIPS_WITH_3DES_EDE_CBC_SHA 168 - - - - - -
[Updated in February 2014]
参照トピック    

インフォメーション・センターに関するご使用条件 | フィードバック

最終更新: October 08, 2014 06:19 PM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=rihs_ciphspec
ファイル名: rihs_ciphspec.html