サーバーの仕様について
| 投稿日 |
: 2016/03/15(Tue) 18:09 |
| 投稿者 |
: ayase |
| 参照先 |
: |
サーバーの仕様についての質問です
1.xrea.comのトップページに数か月前?くらいからSNIによるSSLサイト化対応との記述が追加されましたが現時点で仕様詳細にもFAQにも書いていない機能でXREAの全サーバーが対応しているのでしょうか?
Globalsignのページを元にopenssl s_clientコマンドで確認したところ*.value-domain.com(発行元Digicert)という証明書が設定されているようですがこれは何かサブドメインでSSLに対応できるということなのでしょうか?
https://jp.globalsign.com/support/faq/07.html
例) openssl s_client -connect (s---.xrea.com/---には数字が入ります。):443 -showcerts -ssl2
(略) -ssl3
(略) -tls1
(略) -tls1_1
(略) -tls1_2
うちSSL2.0 SSL3.0では接続できずTLS1.0/TLS1.1/TLS1.2ではいずれも同一の証明書がサーバーに設定されているようです。
またTLS1.0/TLS1.1では暗号方式にRC4が選択されましたがセキュリティ上問題がありブラウザ各社では無効化が進んでおりまたRFC 7465でRC4の利用は禁止されています。
RC4についてサーバー側で無効化はされないのでしょうか?
2.xreaのメール機能のSSL(IMAPS/POP3S/SMTPS)についても同様に*.value-domain.comの証明書でしたが発行元がGlobalsignになっていました。
暗号化方式にAESが選択されましたが-cipher RC4を指定するとRC4で接続されます。
これもサーバー側でRC4無効化されないのでしょうか?
またIMAPSはTLS1.1/TLS1.2で接続できませんでしたが今後対応される予定はあるのでしょうか?
3.前記の*.value-domain.comの証明書ですがIMAPS/POP3S/SMTPS対応メールソフトにおいてメールサーバー設定をする場合はサーバー名に(例)(s---.xrea.com)のように入れるのでしょうか? それとも何か別の専用ドメインがあるのでしょうか?
公式サイトの仕様詳細にもメールのSSL使用時のvalue-domain.comドメインのサーバー設定方法はありませんでした。
4.前記同様のGlobalsignのページにあるコマンドをCORESERVER/VALUESERVERで行ったところ
CORESERVER
HTTPS TLS1.0/TLS1.1/TLS1.2対応 RC4使用不可
SMTPS/POP3S TLS1.0/TLS1.1/TLS1.2対応 RC4使用可
IMAPS TLS1.0対応 RC4使用可
いずれもGlobalsign発行の*.value-domain.com証明書
VALUESERVER
HTTPS TLS1.0/TLS1.1/TLS1.2対応 RC4使用不可
SMTPS/POP3S/IMAPS SSL3.0/TLS1.0/TLS1.1/TLS1.2対応 RC4使用可
いずれもGlobalsign発行の*.valueserver.jp証明書
SSL 3.0/RC4はセキュリティ上の問題があり無効化した方がいいと思います。
VALUESERVERだけ*.valueserver.jpになっていますが以下の記事のようにVALUESERVERは64bit OSを現時点で使用していることからXREAと異なりサービス面での仕様もかなり違うのでしょうか?(サービス開始当初から最新ソフトウェアを採用など)
http://help.value-domain.com/f_server/index.cgi?read=369&ukey=0
5.VALUESERVERの料金・プランについてですが独自SSLはCORESERVERのSNI SSLに相当する機能でしょうか?
6.独自IPアドレスでSSLを設定した場合POP3S/IMAPS/SMTPSでも使用可能なのでしょうか?
例)CORESERVERで独自IPアドレスを取得・購入、test.example.comのSSL証明書を認証局から取得・管理画面から設定・DNSに独自IPアドレスを登録
メールソフトからtest.example.comをメールサーバーとして設定してPOP3S/IMAPS/SMTPSを使用
公式サイトの仕様詳細を見ていて不明な点がありましたので質問します。
よろしくお願いします。
Re: サーバーの仕様について
| 投稿日 |
: 2016/03/18(Fri) 17:32 |
| 投稿者 |
: スタッフ ◆E/OpKM6SnFQ |
| 参照先 |
: |
ayase 様
平素は弊社サービスをご利用いただき、誠にありがとうございます。
また、ご回答が遅くなり、申し訳ございませんでした。
いただきました件につきまして、以下、ご回答させていただきたく存じます。
1.
XREAのSNIによるSSLサイト化対応につきましては、ご利用のドメインにて設定いただけることになり、XREA全サーバーにてご利用いただくことが可能です。
但し、証明書につきましては、各お客様ごとにご契約の上、ご設定いただく必要がございます。
(ご参考:SNIを使用したSSLの設定(XREA))
https://www.value-domain.com/userguide/manual/sni_sslx/
なお、RC4のサーバー側での無効化につきましては、SSLバージョンアップメンテナンスにて、対応させていただきました。
(ご参考:XREA 全体・複数>SSLバージョンアップメンテナンス)
http://mainte.value-domain.com/eventview.cgi?host=XreaAll&no=67
2.
XREAのメール機能のSSL(IMAPS/POP3S/SMTPS)のRC4につきましては、「1.」でご案内させていただきましたSSLバージョンアップメンテナンスで対応させていただきました。
なお、IMAPSのTLS1.1/TLS1.2での接続につきましても、同様に対応させていただきました。
3.
*.value-domain.comの証明書につきまして、IMAPS/POP3S/SMTPS対応のメールソフトにてメールサーバー設定をする場合は、
●サーバー名の「.」を「-」に変えた名.value-domain.com
といたします。
(設定例:s1.xrea.comの場合)
s1-xrea-com.value-domain.com
以下、コアサーバーでのご案内になりますが、XREAも同様となります。
(ご参考:コアサーバー >よくある質問 > 全般)
Q9 共有SSL(暗号化通信)について
http://www.coreserver.jp/faq/
4.
SSL 3.0/RC4 が残っているサーバーがありましたこと、ご指摘ありがとうございます。
本件につきましては、以下のSSLバージョンアップメンテナンスにて、対応させていただきました。
(ご参考:CoreServer 全体・複数)
http://mainte.value-domain.com/eventview.cgi?host=CoreServerAll&no=59
(ご参考:バリューサーバー 全体)
http://mainte.value-domain.com/eventview.cgi?host=ValueServerAll&no=22
なお、バリューサーバーにつきましては、ご確認いただきました通り、OSが異なり、ユーザー権限でプロセスを実行する等の仕様が異なる点に加えて、サーバー管理画面のインターフェースに違いがあります。
もし、ご興味がございます場合は、よろしければお試し期間をご利用の上、環境をご確認いただければ幸いです。
その上で、ご不明な点などございましたら、お気軽にご連絡いただければ幸いです。
5.、
バリューサーバーの料金・プランページに記載の「独自SSL」とは、バリューサーバーにおきまして、お客様にてご用意ただいたSSL証明書導入いただける仕様を意味しており、SNIあるいは独自IPアドレスにて、ご利用いただけます。
仰せの通り、CORESERVERのSNI SSLに相当いたします。
6.
POP3S/IMAPS/SMTPSは使用可能ですが、独自IPアドレスでSSLを設定した場合においても、メールサーバーには、共有サーバーの設定を指定いただきます。
あくまでも独自IPアドレスはウェブ上でのご利用を前提としており、メールサーバーからのご利用はいただけませんので、ご留意いただければ幸いです。
以上、何卒よろしくお願い申し上げます。