ECDHE (Elliptic Curve Diffie-Hellman Exchange) または ECDH (Elliptic Curve Diffie-Hellman) 暗号スイートを利用して接続を確立する場合に接続ピアとのネゴシエートに使用される楕円曲線の優先度および範囲を制御できます。
キーのキー交換暗号グループが存在しない場合、楕円曲線デジタル署名アルゴリズム (ECDSA) 暗号スイート接続を確立することはできません。未構成または不適切な構成のキー交換暗号グループを持つ証明書は、そのキー交換暗号グループがシステムに認識されないため、信頼できないものとして扱われます。
パフォーマンスを最大化するために、サーバーは少なくとも 2 つのグループをサポートするように構成することをお勧めします。クライアントは、最初のキー共有交換にこれらの 2 つのグループのいずれかを使用します。2 つの証明書を使用する構成では、接続クライアントが ECDSA 専用に構成されていない場合、RSA ID 証明書および発行元 CA チェーンによって、代替の証明書および RSA キーを使用してリスニング エンドポイントが確立されることがあります。このような場合は、ECDHE-RSA または ECDH-RSA 暗号スイートが使用されます。
キー交換暗号グループをリストで指定する場合、優先度は左から右の順になり、一番左が最も高い優先度となります。空白、カンマ、およびセミコロンの任意の組み合わせをキー交換暗号グループの区切り文字として使用できます。デフォルトでは、次のキー交換暗号グループが使用されます。
secp521r1;secp384r1;prime256v1;secp256k1;secp224r1;secp224k1;prime192v1
[Key Exchange Cipher Groups] フィールドで、優先キー交換暗号グループを指定できます。キー交換暗号グループ曲線がリスト内で重複している場合は、最初に出現した位置でその優先度が決まります。それ以降の重複はすべて無視されます。たとえば、次のリストでは、secp521r1 が優先度が最も高いキー交換暗号グループです。secp256k1 は、リスト内の 10 番目にも出現していますが、優先度が 4 番目に高い曲線となります。
secp521r1;secp384r1;prime256v1,secp256k1,secp224r1;secp224k1;secp521r1;secp384r1;prime256v1;secp256k1;secp224r1;secp224k1;prime192v1
指定した曲線コレクションはデフォルトのコレクションの代わりに使用されます。構成が指定されていない場合、デフォルトのキー交換暗号グループは上記のキー交換暗号グループです。その優先度は暗号化サービス プロバイダーによって決定されます。
TLS v1.3 を使用している場合、X25519 および X448 を最も優先度の高いキー交換グループとしてリストに配置することをお勧めします。
クライアントとの最高レベルの互換性を確保しながら、最高レベルのセキュリティを実現するようにキー交換暗号グループを最適化するには、[Key Exchange Cipher Groups] で次のように指定することをお勧めします。
secp521r1;brainpoolP512r1;brainpoolP384r1;brainpoolP256r1;secp384r1;prime256v1;secp256k1;secp224k1;secp224r1;prime192v1
TLS1.3 に固有の [TLS1.3 Cipher Suites] フィールドとは異なります。指定された [Key Exchange Cipher Groups] は、TLS v1.2 以前のグループも制御します。
現在は安全でないと考えられる次のキー交換暗号グループは使用しないことをお勧めします。