トランスポート層セキュリティ (TLS) について
トランスポート層セキュリティ (TLS) は、クライアントとサーバー間で送信されるデータの暗号化とセキュリティを提供するプロトコルです。
明示的 TLS および 暗黙的 TLS
TLS には、明示的 TLS および 暗黙的 TLS があります。違いは、サーバーが TLS 暗号化を使用するタイミングです。
明示的 TLS
明示的 TLS では、クライアントが接続をより安全なものにアップグレードするよう要求するコマンド (STARTTLS など) を、既存の安全ではない接続経由で送信します。サーバーがコマンドを受信し、このように TLS をサポートできる場合、確認をクライアントに送信し、TLS ネゴシエーションが開始できることを伝えます。
Fireware では、SMTP プロキシの SMTP および IMAP プロキシの IMAP の明示的 TLS がサポートされています。
暗黙的 TLS
暗黙的 TLS では、クライアントとサーバーの両方接続に使用されるポートに応じて即座に TLS を使用します。Fireware は、以下のプロトコルおよび既定のポートで暗黙的 TLS をサポートしています:
- ポート 443 の HTTPS
- ポート 993 の IMAPS (Fireware v12.1 以降でサポート)
- ポート 465 の SMTP (Fireware v12.2 以降でサポート)
- ポート 995 の POP3S (Fireware v12.2 以降でサポート)
HTTPS および POP3 プロキシでは、暗黙的 TLS のみがサポートされています。IMAP および SMTP プロキシでは、暗黙的 TLS および明示的 TLS の両方がサポートされています。
TLS プロファイルおよびプロキシ ポリシー
IMAP、SMTP、および POP3 プロキシは、暗号化されている接続および暗号化されていない接続の両方をサポートしています。これらのポリシーでは、ポリシー プロパティの TLS サポート オプションがプロキシ プロパティが待機するポートを制御します。
| TLS サポート | IMAP プロキシ ポート | SMTP プロキシ ポート | POP3 プロキシ ポート |
|---|---|---|---|
| 無効 | ポート 143 のみ | ポート 25 のみ | ポート 110 のみ |
| 有効 | ポート 143 および 993 | ポート 25 および 465 | ポート 110 および 995 |
| 必須 | ポート 993 のみ | ポート 465 のみ | ポート 995 のみ |
IMAP、SMTP、または POP3 プロキシ アクションでコンテンツ インスペクションの TLS 設定を構成するには、TLS サポート設定のプロキシ 設定が有効または必須に設定されている必要があります。IMAP、SMTP、および POP3 プロキシポリシーのポリシー テンプレートでは、TLS サポート設定は規定で有効に設定されいます。
TLS プロファイルをサポートしない Fireware のバージョンで IMAP、SMTP、または POP3 プロキシ プロファイルを作成し、その後 TLS プロファイルをサポートする Fireware のバージョンに Firebox をアップグレードした場合、既存のプロキシ ポリシーの TLS サポートオプションはアップグレード後無効に設定されます。コンテンツ インスペクションを有効にする前に、プロキシ ポリシーのサポートオプションを有効または必須に切り替える必要があります。
TLS プロファイルの選択方法とプロキシ アクションでコンテンツ インスペクションを構成する方法については、次を参照してください:
- HTTPS プロキシ:コンテンツ インスペクション
- SMTP プロキシ:STARTTLS 暗号化
- SMTP プロキシ:TLS
- IMAP プロキシ:STARTTLS
- IMAP プロキシ:TLS
- POP3 プロキシ:TLS
TLS プロファイルの構成設定について詳細は、次を参照してください: TLS プロファイルを構成する。