クライアントがSSLハンドシェイク時に使用できるSSL暗号スイートを指定します。このディレクティブでは、カンマまたはコロンで区切られた暗号指定文字列を使用して暗号スイートを識別します。
SSLCipherSuiteには次の接頭辞を使用できます。
none: リストに暗号を追加します。
+: リストに暗号を追加し、リスト内の正しい位置に配置します。
-: リストから暗号を削除します(後で追加できます)。
!: リストから暗号を永続的に削除します。
タグは、暗号指定文字列を構成する接頭辞と結合されます。表G-1に、暗号スイートのタグを示します。
ノート:
Rivest Cipher 4 (RC4)およびTriple Data Encryption Standard (3DES)アルゴリズムを使用する暗号スイートは、Oracle HTTP Serverバージョン12.2.1.3以降からは既知のセキュリティ上の脆弱性があるため非推奨です。これらの暗号は、Oracle HTTP ServerのデフォルトのSSLポートのSSLCipherSuite構成から削除されます。また、これらの暗号は、RC4および3DESの別名を除くすべてのサポートされた暗号の別名からも削除されます。Oracle HTTP ServerがEnterprise ManagerまたはWebLogic Scripting Toolを介して管理される場合、これらのツールは安全ではないRC4および3DES暗号を認識しないため、これらのツールを介してこれらの暗号スイートを構成することはできません。
下位互換性を提供するため、Oracle HTTP Serverでは、RC4および3DES暗号化を明示的に暗号スイート構成に追加した場合、これらは有効になります。これらの安全ではない暗号を使用するには、ファイル・エディタを使用して.confファイル内のSSLCipherSuiteディレクトリを編集し、それらを暗号リストの末尾に追加します。
表11-2は、必要な暗号スイートを記述するためにこの文字列で使用できるタグを示しています。
カテゴリ | 値 |
---|---|
例 |
この例では、MD5強度暗号を除くすべての暗号が指定されています。 |
構文 |
|
デフォルト |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA256, SSL_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_AES_128_CBC_SHA |
表G-1 SSL暗号スイートのタグ
機能 | タグ | 意味 |
---|---|---|
キーの交換 |
|
|
キーの交換 |
|
楕円曲線Diffie–Hellman交換のキー交換 |
認証 |
|
|
暗号化 |
|
Triple |
暗号化 |
|
|
データ整合性 |
|
|
データ整合性 |
|
SHA256ハッシュ関数 |
データ整合性 |
|
SHA384ハッシュ関数 |
別名 |
|
すべてのTLS V1暗号 |
別名 |
|
すべてのTLS V1.1暗号 |
別名 |
|
すべてのTLS V1.2暗号 |
別名 |
|
128ビット暗号化を使用したすべての暗号 |
別名 |
|
サイズが128ビットを超える暗号キーを使用したすべての暗号 |
別名 |
|
AES暗号化を使用したすべての暗号 |
別名 |
|
RSA認証およびRSAキー交換の両方を使用したすべての暗号 |
別名 |
|
認証の楕円曲線デジタル署名アルゴリズムを使用したすべての暗号 |
別名 |
|
楕円曲線Diffie–Hellman交換のキー交換を使用したすべての暗号 |
別名 |
|
暗号用のGalois/Counter Mode (GCM)でAdvanced Encryption Standardを使用するすべての暗号。 |
表G-2に、Oracle Advanced Security 12c (12.2.1)でサポートされている暗号スイートを示します。
ノート:
Solaris Sparcプラットフォームで mod_ossl
を使用する場合、基礎となる暗号化ライブラリはSparc T4プロセッサを検出して、暗号化操作を高速化するオンコア暗号化アルゴリズムを使用します。この機能を有効にするための構成は不要です。Oracle SPARC Enterprise Tシリーズ・プロセッサでは、RSA、3DES、AES-CBC、AES-GCM、SHA1、SHA256およびSHA38の暗号化アルゴリズムをサポートしています。表G-2 Oracle Advanced Security 12.2.1でサポートされている暗号スイート
暗号スイート | キーの交換 | 認証 | 暗号化 | データ整合性 | TLS v1 | TLS v1.1 | TLS v1.2 |
---|---|---|---|---|---|---|---|
|
RSA |
|
|
|
○ |
○ |
○ |
|
RSA |
|
|
|
○ |
○ |
○ |
|
RSA |
|
|
|
○ |
○ |
○ |
|
RSA |
|
|
|
○ |
○ |
○ |
|
RSA |
|
|
|
× |
× |
○ |
|
RSA |
|
|
|
× |
× |
○ |
|
RSA |
|
|
|
× |
× |
○ |
|
RSA |
|
|
|
× |
× |
○ |
|
ECDHE |
|
|
|
○ |
○ |
○ |
|
ECDHE |
|
|
|
○ |
○ |
○ |
|
ECDHE |
|
|
|
× |
× |
○ |
|
ECDHE |
|
|
|
× |
× |
○ |
|
ECDHE |
|
|
|
× |
× |
○ |
|
ECDHE |
|
|
|
× |
× |
○ |
|
|
|
|
|
○ |
○ |
○ |
|
|
|
|
|
○ |
○ |
○ |
|
|
|
|
|
○ |
○ |
○ |
|
|
|
|
|
○ |
○ |
○ |
|
|
|
|
|
○ |
○ |
○ |
|
|
|
|
|
○ |
○ |
○ |
|
RSA署名付きのエフェメラルECDH |
RSA |
|
|
× |
× |
○ |
|
|
RSA |
|
|
× |
× |
○ |
|
|
RSA |
|
|
× |
× |
○ |
|
|
RSA |
|
|
× |
× |
○ |