1. IDC Frontier Inc. All rights reserved.
いまからでも間に合うATS対策
株式会社IDCフロンティア
営業本部 ソリューションアーキテクト部 エバンジェリストG
藤城 拓哉 @tafujish
2016.12.19
2. 2
IDC Frontier Inc. All rights reserved.
自己紹介
@tafujish
業務
クラウド前
– Unix/Linuxシステム管理者
クラウド後
– インフラの設計、構築、運用
– テクニカルサポート
– ソリューションアーキテクト
– テクニカルエバンジェリスト
藤城 拓哉 (FUJISHIRO TAKUYA)
今ココ
3. 3
IDC Frontier Inc. All rights reserved.
IDCフロンティア
Yahoo! JAPAN
100%資本の子会社で
主にデータセンターや
クラウドなどのITインフラ
の提供を行っております
【データセンター】
国内9拠点のデータセンター群
【クラウド IaaS】
東日本リージョン/西日本リージョン
21. 21
IDC Frontier Inc. All rights reserved.
ATS対応確認方法
$ ab -n 10000 -c 100 -f TLSv1.2 -Z ECDHE-RSA-AES128-GCM-SHA256 https://~
~略~
Server Software: Apache/2.2.15
Server Hostname: ~
Server Port: 443
SSL/TLS Protocol: TLSv1.2,ECDHE-RSA-AES128-GCM-SHA256,2048,128
~略~
ApacheBenchでcipher suite対応や性能を確認
オプション
-f SSL/TLS protocol
-Z SSL/TLS cipher suite (openssl ciphersの値が利用可)
結果
SSL/TLS Protocolの値を確認
22. 22
IDC Frontier Inc. All rights reserved.
ATS対応確認方法
$ nscurl --ats-diagnostics https://~
Starting ATS Diagnostics
Configuring ATS Info.plist keys and displaying the result of HTTPS loads to https://~.
A test will "PASS" if URLSession:task:didCompleteWithError: returns a nil error.
Use '--verbose' to view the ATS dictionaries used and to display the error received in
URLSession:task:didCompleteWithError:.
================================================================================
Default ATS Secure Connection
---
ATS Default Connection
Result : PASS
---
================================================================================
Allowing Arbitrary Loads
---
Allow All Loads
Result : PASS
---
================================================================================
Configuring TLS exceptions for ~
---
TLSv1.2
Result : PASS
~以下、略~
外から対応を確認
←ResultがPASSであれば成功
←以降はTLSv1.2を確認
nscurlは、MacOS X El Capitan
10.11 以降でデフォルトで入って
いるコマンドです
23. 23
IDC Frontier Inc. All rights reserved.
まとめ
早目にATS対応しましょう
SSLの処理は重たいので構成に注意
今後のことも考えしっかり構成検討しましょう
IDCFクラウドILBなら簡単に導入できます
大規模な環境の場合は、ご相談ください