セキュリティ対策強化: TLS 接続の RSA 鍵交換からの移行

円滑な移行を実現するために、Salesforce の設定以外のお客様のソフトウェア環境で下記の特長をもつ AES がサポートされていることを確認します。

• 128 ビット鍵または 256 ビット鍵

• ECDHE 鍵交換

• GCM (Galois Counter Mode) ブロック暗号化モード (TLS 1.2 を使用する場合)

変更への対応として、TLS 1.3 を有効化することもお勧めします。

• RSA 鍵交換がない状態に準拠するため、お客様のソフトウェア環境で TLS 1.3 を有効化します。TLS 1.3 には RSA 鍵交換を使用する暗号スイートがありません。これらの調整を行うことにより、Salesforce が提供するサービスとの互換性を維持し、ネットワークの中断を回避します。
• Salesforce 組織のログイン履歴を確認して、TLS プロトコルが 「TLS 1.2」 の場合に TLS Cipher Suite に「ECDHE」が含まれるエントリーのみであることを確認します。お客様のソフトウェア環境で RSA 鍵が無効化されると、Salesforce ログイン履歴に AES256-SHA256 あるいは AES256-SHA のような暗号スイートは表示されなくなります。プロトコルが TLSv1.3 のログインは、暗黙的に ECDHE を使用します。詳細は、下図を参照してください。 

• Salesforce では現在、Hyperforce および Salesforce Edge Network への受信接続に TLS 1.3 を使用していますが、Salesforce のファーストパーティインフラストラクチャではまだ使用していません。TLS 1.3 が使用できない場合、互換性のある暗号スイートが有効化されていれば TLS 1.2 をお使いいただくことは可能です。 
• TLS 1.3 では、TLS_CHACHA20_POLY1305_SHA256 に含まれるものや CCM など、他のセキュアなブロック暗号化モードが許可されます。

重要:  RSA 鍵交換をオフにすると、そのようなログインの背後にある TLS 接続が中断される可能性があります。

注意: GovCloud をご利用の場合は、この変更へのお客様側での対応は必要ありません。詳細は、ナレッジ記事「Supported Cipher and TLS versions for Government Cloud」を参照してください。