安全な通信は、システム セキュリティの基盤です。分散アプリケーションのコンポーネント間でのやり取りを伴う機密データでは、今や企業のプライベート ネットワークでさえ信頼してはならないことが広く認識されています。TLS を正しく使用すると、ネットワーク通信の機密性 (攻撃者が機密データを読み取れない)、整合性 (攻撃者がデータを変更できない)、および認証 (攻撃者がシステムの一部になりすますことができない) が実現されます。
TLS は、次のような多くの Enterprise Server コンポーネントで有効にすることができます。
MLDAP ESM モジュールでも、その LDAP 接続で TLS を通常は使用できますが、これは実際にはサード パーティ製ソフトウェア (LDAP サーバーおよび LDAP プロバイダー ライブラリ) の制御下になります。同様に、ネットワーク経由でアクセスされる XA リソースでは、TLS 接続を多くの場合はサポートしています。
TLS を強化するための推奨事項を次に示します。
TLS のオプションおよびパラメーターはリスナーごとに構成できますが、mf-server.dat ファイルでそれらのデフォルトを設定することもできます。詳細については、製品ヘルプの「リスナーのデフォルト TLS プロパティを構成するには」を参照してください。
TLS (旧称 SSL) プロトコルは、多くの改訂を経てきました。
古い SSLv2 および SSLv3 プロトコルは安全ではないため、Enterprise Server ではサポートされていません。
現在、TLS プロトコルのバージョンは、TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3 です。デフォルトでは、Enterprise Server コンポーネントは、相互運用性および下位互換性のために、4 つの TLS バージョンすべてをサポートしています。TLSv1.0 および TLSv1.1 は安全ではなく非推奨であり、リリース 8.0 以降ではデフォルトで無効になっています。
古いバージョンの TLS のみをサポートするピアと相互運用する差し迫った必要性がない限り、TLSv1.0 および TLSv1.1 を無効にすることをお勧めします。TLS プロトコル構成フィールドを提供するリスナーおよびその他のコンポーネントの場合、これは、プロトコル リストを -ALL+TLS1.2+TLS1.3 に設定することで実行できます。詳細については、製品ヘルプの「TLS プロトコル リストの構成」を参照してください。
[DH minimum group size] オプションは、一時的な Diffie-Hellman キーのサイズを決定します。このオプションのデフォルトは 2048 ビットであり、通常は十分なセキュリティが提供されます。これは 4096 に変更できますが、大部分のクライアントでは Elliptic Curve Diffie-Hellman (ECDH) の使用が許可されるため、この設定が適用されることはほとんどありません。
強化のために、TLSv1.3 暗号スイート リストまたは許可される楕円曲線リストを変更する必要はありません。
このオプションを有効にする必要があります。これにより、サーバーは暗号スイートの優先順位を決定できます。サーバーはより厳密に管理されているため、また権限を獲得した攻撃者が、クライアントの暗号スイート リストを改ざんして、サーバーで提供される最も弱いスイートに対話をダウングレードできる可能性があるため、これは重要です。このオプションは、将来の製品リリースではデフォルトで有効化される見込みです。