Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

テスト対応のクライアント SSL/TLS 暗号

公開日: Mar 7, 2025
説明
TLS では、暗号を使用してクライアントとサーバー間の通信を暗号化して保護します。時が経つにつれ、新しい暗号化スイートが作成されて暗号化が強化される一方で、古いスイートは脆弱とみなされ、推奨されなくなりました。

受信側のサーバーは、クライアントから送られたサポートされている暗号化のリストと、自分自身のリストに基づいて、TLS 接続にどの暗号化スイートを使用するかについての決定的要素を作成します。サーバーは、クライアントのリストにもある暗号を、(設定順に) そのリストから最初に選択します。2 つのリストが一致しない場合、TLS 接続は確立できません。
解決策

脆弱な暗号化スイートを使用しているユーザーを特定するためのユーザーレポートの作成

組織で脆弱な暗号スイートが使用されていることを示すメールを Salesforce から受け取ったという報告が顧客からあった場合は、脆弱な暗号化を使用しているユーザーまたはインテグレーションを判断するためのレポートを作成できます。

  • 影響を受ける組織と使用中の脆弱な暗号化スイートに関する情報については、weak-cipher-remediation@salesforce.com にメールを送信して問い合わせることができます。この情報は問題を追跡するレポートを作成するときに役立ちます。weak-cipher-remediation@salesforce.com にメールで問い合わせるときには、組織 ID を提供するよう顧客に依頼します。
  • 組織にログインし、[レポート] タブに移動します。
  • 左側の [カテゴリ] から [新規レポート] を選択し、[管理レポート] を選択します。
  • [レポートタイプ名] 列から [ユーザー] レポートタイプを選択し、[レポートを開始] をクリックします。
  • [アウトライン] 列に [ブラウザ] と [TLS プロトコル] の列を追加します。[TLS Cipher Suite] に [行をグループ化] を追加します。
  • [フィルター] を選択し、確認する期間に [最終ログイン] フィルターを設定します。デフォルトの [常時] フィルターをそのまま使用できます。
  • [表示] フィルターには [アクティブユーザー] をそのまま設定するか、その他のオプション ([Inactive Users] (無効なユーザー)、[すべてのユーザー]) のいずれかを選択できます。
  • TLS Cipher Suite のフィルターを追加し、Salesforce からの回答で特定された暗号化スイートを選択します。[適用] を選択します。
  • [更新] を選択して結果を確認するか、[保存して実行] を選択してレポートを保存して実行します。以下は組織のレポートの例です。この例では、組織の Experience Cloud サイトの URL に、サポートされていないブラウザである Internet Explorer 経由で 3 人のユーザーがアクセスしました。レポートでは ECDHE-RSA-AES256-SHA384 暗号化が特定されています。
 

脆弱な暗号化スイートを使用しているユーザーを示すレポート

ブラウザチェック

最新のブラウザでは、推奨される安全な暗号スイートをすべてサポートしており、下位互換性のために弱い暗号スイートもいくつかサポートしています。ブラウザのベンダーはブラウザのアップデートによって使用可能な暗号化スイートを管理します。

サポートされている暗号を使用できないとブラウザに表示された場合は、そのブラウザがインストールされたデバイスを管理する IT 部門にお問い合わせください。
 

ブラウザテスト

接続が確立されたときに交換された情報に基づいて、ローカルブラウザがどの暗号スイートをサポートするかを報告するには、サードパーティのウェブサイトを使用できます。

Qualys SSL Labs のブラウザテスト (「Cipher Suites」セクションを参照してください)。
 

Chrome

次のステップに沿って、Chrome ブラウザとの接続に実際に使用されている暗号を確認します。
  1. Chrome を起動します
  2. サイトの URL を入力します
  3. 右上にある省略記号 (3 つの点) を選択します
  4. [その他のツール] > [デベロッパー ツール] > [セキュリティ] タブを選択します
  5. [接続] セクションを確認します
  Chrome ブラウザのテスト手順


Firefox

次のステップに沿って、Firefox ブラウザとの接続に実際に使用されている暗号を確認します。
  1. Firefox を起動します
  2. サイトの URL を入力します
  3. URL の左側にある「鍵」アイコンを選択します
  4. [詳細を表示] を選択します
  5. [セキュリティ] タブを選択します
  6. [技術情報] セクションを確認します
 

Firefox ブラウザのテスト手順

Firefox ページに関する情報

API コール

API コールを行うときに使用される暗号は、そのコールを行うために使用されるツールに依存します (例: cURL は OpenSSL ツールキットを使用します)。次のコマンドは、特定のホストから特定の暗号を使用して API コールが行われたかどうかをテストするために使用できます。

注意: このコマンドはコマンドで指定された暗号が機能するかどうかのみをテストします。該当する暗号化のコールを行う API ツールがサポートしていることも確認する必要があります。

テストが失敗した場合は、デバイスを管理する IT 部門、または API コールアウトを行うコードを管理する開発者チームに連絡し、問題を特定してください。
 

OpenSSL


接続の成功


接続が成功すると、TLS/SSL 暗号化を含む、接続に関するさまざまな詳細が出力されます。 
openssl s_client -connect na202.salesforce.com:443 -cipher ECDHE-RSA-AES128-GCM-SHA256

接続の成功

接続の失敗

接続が失敗すると、「no cipher match」や「sslv3 alert handshake failure」といったエラーが出力されます。 
openssl s_client -connect na202.salesforce.com:443 -cipher PSK-AES128-CBC-SHA接続の失敗
openssl s_client -connect na202.salesforce.com:443 -cipher ECDHE-ECDSA-AES128-GCM-SHA256接続の成功

脆弱な暗号化を使用したユーザーアクセスの回避

現在 Shield イベントモニタリングを使用している場合は、拡張トランザクションセキュリティを使用して、脆弱な暗号を使用したユーザーログインをブロックできます。Salesforce 開発者は以下を参照してください。


関連情報:

サポートされる暗号化のリストは以下で確認できます。
Salesforce Services and Marketing Cloud supported TLS 1.2 Cipher Suites (Salesforce サービスおよび Marketing Cloud による TLS 1.2 Cipher Suites のサポートの廃止)
Supported Cipher and TLS versions for Government Cloud (Government Cloud でサポートされる暗号化と TLS のバージョン)
ナレッジ記事番号

000395699

 
読み込み中
Salesforce Help | Article