SSL の対応について
Q. SSL パケットの検査はどのように行いますか?
A. SSL パケットのコピーを作成し、このパケットを復号して検査します。検査の結果、許可する場合のみ、オリジナルのパケットを送信します。復号した SSL パケットのコピーは、破棄されます。
詳細はヘルプセンター「SSLまたはTLSトラフィックの検査」をご参照ください。
証明書のサポートについて
Q. SSLインスペクションでサポートされる証明書の種類を教えてください。
A. 「ワイルドカード証明書」と「SAN証明書(マルチドメイン証明書)」に対応しています。
「SNI証明書」には、Deep Security Agent 20.0.0-1559以降で対応しています。
セッションテーブルについて
Q. セッションはどこに保存されていますか?RAM に保持されている場合、メモリキャッシング機能の一部で、ハードドライブに書かれることはありますか?(例えば、Windows ページファイル)
A. セッションテーブルは、non-paged されたカーネルメモリに保管されます。ページファイルには保存されません。
Q. 特にセッションキーの保存に使用される変数は、セッションの終了時に削除されますか?
A. セッションが閉じられた場合、セッションテーブルから関連したセッションキーが削除されます。また、セッションが残り続けないようにするため、一定時間 (デフォルト 24 時間) 経過した跡にセッションを削除します。
サポート対象の暗号化とデフォルトの優先順序について
Q. サポート対象の暗号化とデフォルトの優先順序を教えてください。
A. デフォルトの優先順序は、SSL Endpoint で決定されます。Trend Micro SSL decoding engine は、TLS/SSL Server - Client 間のネゴシエーションプロトコルと同様に暗号化ネゴシエーションを行っています。ネゴシエーションプロトコルが SSL decoding engine によってサポートされるものでない場合は以下の動作を行います。
・サポートされていない暗号のネゴシエーションをログに記録します。
・エンジンが検知モードのセッションの場合、更なる復号はせずにセッションを続けます。
・エンジンが防御モードのセッションの場合、サーバーとクライアントに RST パケットを送信し終了します。
サポートする暗号化方式 (プロトコル/暗号スイート) は以下のとおりです。サーバとクライアントは、SSL decoding engine で、以下を許可することができます。
TLS/SSL Protocol
SSL 3.0
TLS 1.0 (RFC2246)
TLS 1.1 (バージョン 9.5 Service Pack 1 以降)
TLS 1.2 (バージョン 9.5 Service Pack 1 以降)
TLS Extensions
SessionTicket (RFC5077) (バージョン 9.5 Service Pack 1 以降)
Key Exchange Methods
Deep Security 9.6以前のバージョンはこちらの管理者ガイドP137記載のサポートされる暗号の一覧をご参照ください。
Deep Security 10.0以降はヘルプセンター内の「SSLまたはTLSトラフィックの検査」より、「サポートされている暗号化スイート」をご参照ください。
TLSのプロトコルネゴシエーションで使われる、NPNとALPNはサポートされません。
