Logo
エッセンシャルズ
アカウントを管理する
REST API トラフィックの暗号化

REST API トラフィックの暗号化

このセクションでは、Infobip がパブリック トラフィックの暗号化を処理する方法と、REST API の使用が中断されないようにセキュリティの変更を処理する方法について説明します。

HTTPトラフィックのTLS暗号化

Infobip は、その前身である Secure Socket Layer (SSL) として知られるトランスポート層セキュリティ (TLS) を使用して、ネットワーク経由でデータを安全に転送します。

私たちは、複数の反復があるTLSプロトコル内で、最も安全なバージョンと暗号化アルゴリズムの使用を保証しています。

次のリストには、サポートされている REST API TLS バージョンと暗号スイートが含まれています。

  • TLSv1.3 (サーバー優先の順序のスイート):

    • TLS_AES_256_GCM_SHA384
    • TLS_CHACHA20_POLY1305_SHA256
    • TLS_AES_128_GCM_SHA256
    • TLS_AES_128_CCM_SHA256

  • TLSv1.2 (サーバー優先順序のスイート):

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_128_CCM
    • TLS_DHE_RSA_WITH_AES_256_CCM
    • TLS_DHE_RSA_WITH_AES_128_CCM_8
    • TLS_DHE_RSA_WITH_AES_256_CCM_8
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
    • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS/SSL の変更

お客様に最高の透過的なエクスペリエンスを提供するために、次のTLS変更ポリシーを遵守します。

  • TLSバージョンまたは暗号スイートの変更については、少なくとも6か月前にお客様に通知されます。
  • TLS暗号スイートの変更については、少なくとも60日前にお客様に通知されます。
  • SSL証明書の変更の場合、SSL証明書の変更の少なくとも60日前に、信頼チェーンの変更に関する情報を含む通知が送信されます。通知が発行される前に、証明書がTLSテストエンドポイントにインストールされます。

すべての変更は、次の3つの状態でステータス (opens in a new tab)ページに掲載されます。

  1. スケジュール済み - 証明書の変更がアナウンスされ、新しい証明書がテスト エンドポイントで使用可能になります。
  2. 進行中 - 更新が進行中です。
  3. 完了 - 証明書の置き換えが完了しました。

TLSプロトコルの脆弱性の発見など、セキュリティ上の緊急事態のイベントが発生した場合、製品の安全性を維持するためにTLSの本質的な調整が直ちに実装されることに注意してください。その後、これらの変更についてお客様に速やかに通知されます。

ご不明な点がございましたら、[Support](mailto:support@infobip.com]までお問い合わせください。

TLS/SSL 証明書の変更

TLS暗号化には、最も使用されている認証局(CA)の1つとしてデジサートによって署名されたSSL証明書を使用します。

パブリック REST API エンドポイントには、1 年間有効な証明書があり、それに応じて更新されます。証明書をピン留めせず、トラストストアの自動更新を有効にしているお客様は、これらの変更の影響を受けません。

変更の影響を受けるケース

リーフ証明書のピン留め

このプラクティスには高いアジリティ コストと制限があるため、お勧めしません (opens in a new tab)。ただし、この方法を使用する場合は、必ず次のことを行ってください。

  • ピン留めされた証明書をプロアクティブに監視し、タイムリーに更新します。
  • Infobip 証明書の置き換えポリシーに留意してください。

より安全な代替手段として、mTLS(クライアント証明書認証)を使用することをお勧めします。詳細については、[Support](mailto:support@infobip.com]にお問い合わせください。

手動操作のトラストストア

ほとんどのトラストストアは自動的に更新されますが、一部のお客様はトラストストアを手動で操作することを選択できます。当社はデジサートのPKIに依存しており、すべてのCAはデジサートのルートCAウェブサイト (opens in a new tab)からダウンロードできます。

1 つの CA だけを信頼する義務がない場合は、Mozilla が信頼する (opens in a new tab) CA を PEM 形式でインストールすることをお勧めします。

備考

信頼チェーンの変更に先立って、既存の CA に加えて新しい CA のインポートを可能にするために、少なくとも 60 日前に新しい CA Common Name (CN) に関する情報を追加します。

TLS テストエンドポイント

証明書の変更がスケジュールされると、新しい証明書がテストエンドポイントで使用可能になります。TLS テスト エンドポイントは、Infobip サービスにアクセスする運用環境から使用し、それらを統合するサービスと同じ信頼ストアを使用する必要があります。

curl

    tls-test.api-<location>.infobip.com

テスト方法

ワイルドカードではない証明書は同じエンドポイントにインストールされ、curl コマンドでテストできます。たとえば、api.infobip.com (opens in a new tab)の場合、172.201.176.225はTLSテストエンドポイントのIPです。

curl

    curl -vi --resolve api.infobip.com:443:172.201.176.225 https://api.infobip.com

次の例では、ワイルドカード証明書のテストに米国の場所が使用されています。

curl

    curl https://tls-test.api-us.infobip.com

以下は、成功した TLS テスト エンドポイントの JSON 応答の例です。

json
 
    {
      "certificate": {
        "fingerprintSHA256hex": "D0B356D14E8C9BCD48AF9BE3AA38014DE95012FB2A19363E63474D0476BF3E98",
        "tlsVersion": "TLSv1.3",
        "usedCipher": "TLS_AES_256_GCM_SHA384",
        "commonName": "*.api.infobip.com",
        "sni": "tls-test.api.infobip.com",
        "issuedBy": "RapidSSL TLS RSA CA G1",
        "expire": "240711235959Z"
      }
    }

応答をよりよく理解するために、以下の項目を確認してください。

  • fingerprintSHA256hex - サーバー SSL 証明書の 16 進数の SHA256 フィンガープリント。
  • tlsVersion - https 暗号化に使用される TLS バージョン。
  • usedCipher - SSL ハンドシェイクに使用される暗号アルゴリズム。
  • commonName - サーバ証明書にある CN。
  • sni:正しいSSL証明書を選択するために使用されるSNI(Server Name Indication)。
  • issuedBy - リーフ証明書に署名した CA の CN。
  • expire - フォーマットされた文字列 YYMMDDhhmmss[Z] としての SSL 証明書の有効期限。

トラストストアを手動で操作したり、リーフ証明書や中間証明書をピン留めしたりしているお客様には、次のことを強くお勧めします

  1. 変更に注意: ステータス (opens in a new tab)ページを購読します。
  2. テスト: 変更がアナウンスされたら、提供されたテスト エンドポイントを使用して、任意の http クライアントとの TLS 接続をテストします。
  3. 構成の更新: TLS 接続が失敗した場合は、ローカル SSL 構成を更新します。
  4. 確認: ローカル構成を変更するたびに、TLS エンドポイントをテストするために接続するかどうかを確認します。

: 準備が時間通りに完了しない場合、変更は延期または元に戻されません**** 。ただし、新しい変更をできるだけ早く採用するための技術サポートを提供する用意があります。詳細については、[Support](mailto:support@infobip.com]にお問い合わせください。

考えられるTLS/SSLエラーとその解決方法

一般的なTLS/SSLエラーは数多くあり、できるだけ早く解決するために最善のサポートを提供するよう努めています。予定されている交換の前にテストエンドポイントを確認することで、考えられる問題を検出できます。

より効率的に行うには、次の一般的な問題を確認し、実用的な情報を提供してください。

TLSチェーンエラー

TLS チェーン エラーは、ローカル システムまたはクライアントで Infobip の CA が期待どおりに構成されていないことを示します。

Curl unknown CA エラー の例:

curl

    curl: (60) SSL certificate problem: self signed certificate in certificate chain
    More details here: https://curl.haxx.se/docs/sslcerts.html
    
    curl failed to verify the legitimacy of the server and therefore could not
    establish a secure connection to it. To learn more about this situation and
    how to fix it, please visit the web page mentioned above.

考えられる解決策:

  1. クライアントのシステムに存在する CA 証明書を確認し、Mozilla が信頼する (opens in a new tab) の CA を PEM 形式でダウンロードしてインストールします。
  2. クライアントが正しいディレクトリから CA 証明書をロードしていることを確認します。

SSL ハンドシェイク・エラー

SSL ハンドシェイク エラーは、通常、プロトコル エラーまたは暗号エラーとしても現れます。これらは、クライアントがTLSバージョンまたは暗号をサポートしていない場合に発生します。

Curl プロトコル エラー の例:

curl

    curl: (35) error:1425F102:SSL routines:ssl_choose_client_version:unsupported protocol

サポートされていないクライアント暗号による Curl ハンドシェイク エラー の例:

curl

    curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

考えられる解決策:

  1. クライアントがファイアウォール、SSL インスペクション、または VPN の内側にある場合は、Infobip がサポートする TLS と暗号をサポートしているかどうかを確認します。
  2. クライアントが使用可能なTLSバージョンと暗号をサポートしているかどうかを確認します。
  3. 可能であれば、最新の TLS バージョンを使用するようにクライアントを明示的に構成します。

Logo

ご不明点は

サポートまでお問い合わせ

ください

© NTTCom Online Marketing Solutions Corporation