15.6 SSL/TLS関連の設定のチューニング

この項には次のトピックが含まれます:

• 15.6.1項「SSL/TLSセッションのキャッシュ」

• 15.6.2項「暗号および証明書鍵」

15.6.1 SSL/TLSセッションのキャッシュ

HTTPS接続の最初のSSL/TLSハンドシェイク・プロセス中、クライアントとサーバーは、使用する暗号スイート、ならびに暗号化/復号化およびMAC鍵(「SSLについて」を参照)についてネゴシエートします。このアクティビティは、RSAまたはECCのどちらの秘密鍵が使用されているか、および鍵のサイズに応じて、かなりのCPU時間を必要とします。

最初のSSL/TLSハンドシェイクにより、一意のSSL/TLSセッションIDが生成されます。SSL/TLSセッションIDがキャッシュされた場合、次に同じHTTPSクライアントが新しいソケット接続をオープンする際、サーバーはキャッシュからSSL/TLSセッションIDを取得し、最初のハンドシェイクよりもCPUへの負荷が少ない略式のSSL/TLSハンドシェイクを実行することで、接続の確立に要する時間を短縮できます。

SSL/TLSセッションのキャッシュは、Oracle Traffic Directorではデフォルトで有効化されています。SSL/TLSが有効化されているリスナーで新しい接続が確立されるとき、Oracle Traffic Directorは、SSL/TLSキャッシュにクライアントのセッションIDが含まれているかどうかをチェックします。クライアントのセッションIDがキャッシュ内に存在していて有効な場合、Oracle Traffic Directorは、そのセッションの再利用をクライアントに許可します。

SSL/TLSセッション・キャッシュ内の最大エントリ数、およびSSL/TLSセッションIDがキャッシュ内に格納される期間を構成できます。

管理コンソールまたはCLIのいずれかを使用して、構成のSSL/TLSセッション・キャッシュ設定を構成できます。

管理コンソールを使用したSSL/TLSセッション・キャッシュ設定の構成

管理コンソールを使用してSSL/TLSセッション・キャッシュ設定を構成するには、次の操作を行います。

1. 2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。

2. ページの左上隅にある「構成」ボタンをクリックします。

   使用可能な構成のリストが表示されます。

3. 変更する構成を選択します。

4. ナビゲーション・ペインで、「SSL」を選択します。

   「SSL設定」ページが表示されます。

5. ページの「SSL」および「TLS」セクションに移動します。

6. 変更するパラメータを指定します。

   画面上のヘルプおよびプロンプトがすべてのパラメータに提供されています。

   フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、ページの右上隅にある「保存」ボタンが有効になります。

   「リセット」ボタンをクリックすることで、いつでも変更を破棄できます。

7. 必要な変更を行った後、「保存」をクリックします。

   • 更新された構成が保存されたことを確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。

   • さらに、「デプロイメント保留中」メッセージが、メイン・ペインの上部に表示されます。4.3項「構成のデプロイ」の説明に従い、「変更のデプロイ」をクリックして更新された構成を即座にデプロイすることも、さらに変更を行いその後でデプロイすることもできます。

CLIを使用したSSL/TLSセッション・キャッシュ設定の構成

• 構成の現在のSSL/TLSキャッシュ設定を表示するには、次の例に示すようにget-ssl-session-cache-propコマンドを実行します。

  tadm> get-ssl-session-cache-prop --config=test
  max-ssl3-tls-session-age=86400
  enabled=true
  max-entries=10000
  

• SSL/TLSセッション・キャッシュ設定を変更するには、set-ssl-session-cache-propコマンドを実行します。

  たとえば、次のコマンドでは、SSL/TLSセッション・キャッシュに許可された最大エントリ数が20000に変更されます。

  tadm> set-ssl-session-cache-prop --config=soa max-entries=20000
  OTD-70201 Command 'set-ssl-session-cache-prop' ran successfully.
  

  更新された構成を有効にするには、deploy-configコマンドを使用して、構成をOracle Traffic Directorインスタンスにデプロイする必要があります。

この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。

15.6.2 暗号および証明書鍵

強力な暗号およびサイズの大きい秘密鍵を使用すると、SSL/TLS接続のセキュリティはより安全に保護されますが、パフォーマンスに影響を及ぼします。

• SSL/TLS接続において、特定の暗号(AES、RC4など)では、より強力な暗号(3DESなど)よりもデータ転送に必要な演算リソースが少なくて済みます。「厳密なSNIホスト一致」が有効化されているリスナーでSSL/TLS暗号を選択する場合、この点を考慮してください。

  リスナーに対する暗号の構成の詳細は、11.2.4項「リスナーのSSL/TLS暗号の構成」を参照してください。

  SNIホスト一致の詳細は、11.2.6項「厳密なSNIホスト一致について」を参照してください。

• 最初のSSL/TLSハンドシェイク・プロセスでは、鍵サイズの小さいRSA証明書(1024および2048ビット)の方が鍵サイズの大きい証明書(3072および4096ビット)よりもかかる時間が短くなります。

  自己署名証明書および証明書署名リクエストの作成の詳細は、11.4項「証明書の管理」を参照してください。