Scutumの「SNI（SSL有り）」の環境について

こんにちは、Scutumサポートデスクです。

ScutumはWebアプリケーションの通信を監視して不正なアクセスから守るサービスです。そのため通信を暗号化するSSL/TLSを利用するサイトにおいては、Scutumの環境自体もSSL/TLSの利用を設定する必要があります。

今回はSSL/TLSを利用する（※以後、SSL有りと表記します）サイト向けのScutumの環境について紹介します。

SSL/TLS：SSL（Secure Sockets Layer）は、インターネット上でデータを暗号化して送受信する方法のひとつです。また、TLS（Transport Layer Security）は、SSLをもとに標準化させたものです。

Scutumで提供している「SNI」の環境とは？

Scutumでは、SSL有りの環境は、SNIの仕組みを利用して提供しています。

※2021年4月までは、「SSL有り（固有IPアドレス有り）」・「SNI（固有IPアドレス無し）」の2パターンで提供していました。

SNI（Server Name Indication）とは、1つのサーバー（IPアドレス）で複数のドメイン名のSSL証明書を設定できるようにする、TLSの拡張機能です。

クライアントがドメイン名を伝えることで、サーバ（Scutum）側がドメイン名に紐付いたSSL証明書を表示させる仕組みです。

従来のSSLの仕組みでは、1つのサーバー（IPアドレス）に1つのドメイン名のSSL証明書のみ設定できるという制限がありました。

近年インターネットの発展により、グローバルIPアドレスの枯渇が問題化しています。

この問題により、固定IPアドレスの入手が難しくなってきているため、Scutumでは2021年4月から「SNI」での提供を標準とすることにしました。

「SNI」環境は、TLSv1.0以上の暗号プロトコルを利用して通信を行います。

従来提供していた「SSL有り（固有IPアドレス有り）」の環境では、[SSLv3]と[SSLv2Hello]の利用も可能としていたため、この2つのプロトコルを利用した通信ができないという違いがあります。

TLSの通信に対応していない一部の古いバージョンのブラウザや、SNI非対応のフィーチャーフォン（ガラケー）からはサイトにアクセスが出来ない可能性があります。

ただし、現在ほとんどのクラウド型WAFサービスやCDN等でSNIの通信が前提となっていることからも、通常のサイトであればほぼ問題は発生しないと思われます。

弊社で確認できた範囲ですが、一部ブラウザを例に挙げると、Internet Explorer 7以降、Google Chrome 6以降ではSNIに対応しています。（※）

Scutumは、複数のお客様サイトを同一のScutum環境に設定し、提供しているマルチテナント型のサービスです。

SNIとは？でお伝えしたとおり、SNIは1つのサーバ（IPアドレス）に対して複数のドメインのSSL証明書を設定することができるので、同一のScutum環境内で設定された場合は同じIPアドレスで設定されます。

そのため、”従来の「SSL有り」＝固有IPアドレス有り”と”「SNI」＝固有IPアドレス無し”という表記をしています。

固有IPアドレスが無いことで通信に違いは無いの？

こういった心配もあるかと思いますが、
そもそもScutumは、契約FQDNに対するアクセスであるかを[Hostヘッダ]から判別し、[Hostヘッダ]が契約FQDNと一致する場合のみアクセスを受け付ける仕様です。

FQDNは、Fully Qualified Domain Nameの略称で、ホスト名やドメイン名（サブドメイン名）などすべてを省略せずに指定した記述形式のことです。ScutumはFQDN毎に環境を設定しています。

SNI環境であっても上記仕様は変わりません。

そのため、従来の固有IPアドレス有のSSL有り環境と比較して、SNIにより固有IPアドレスが無いことによる通信の仕様に違いはありませんので、その点はご安心ください。

ご不明な点等がありましたら、お気軽にScutumサポートデスクまでお問い合わせください。

参考になったらシェアしよう！

URLをコピーする

URLをコピーしました！