許可する暗号スイートを指定する

最終更新日: 2026年4月22日

対応できる脆弱性

ブロックサイズが64 ビットの従来のブロック暗号は、実際の衝突攻撃に対して脆弱です。ここではDES、3DES、IDEA または RC2 暗号を無効にする方法を説明します。

設定方法

ここで説明する方法は Wagbyが提供する Tomcat 自体を Web サーバとして運用されている場合に有効です。ALB/Nginx/Apache/IISなど、他のWebサーバとTomcatを連携している場合は、そのWebサーバの設定を行なってください。(本ガイドの対象外です。)

Wagby EE R9.0.x 〜 R9.4.x に同梱されている Tomcat 9 の HTTPS Connector では、ciphers 等で許可する暗号スイートを制御できます。例を示します。 

<Connector port="443"
         protocol="org.apache.coyote.http11.Http11NioProtocol"
         SSLEnabled="true"
         sslEnabledProtocols="TLSv1.2,TLSv1.3"
         ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
                  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
                  TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
                  TLS_AES_128_GCM_SHA256,
                  TLS_AES_256_GCM_SHA384,
                  TLS_CHACHA20_POLY1305_SHA256"/>
  • TLSv1.2 / TLSv1.3 に寄せる。
  • 3DES / DES / RC2 / IDEA を含む cipher を許可しない。