SSL ラボ テストでは、NSX Advanced Load Balancer で構成された仮想サービスのグレード B が表示されます。

仮想サービスの SSL ラボのグレード B の結果は、次の問題を示しています。

  • 最新のクライアント(Web ブラウザ)のセキュリティが不十分である

  • 古いクライアントで廃止されたセキュリティ アルゴリズムが使用されている

  • 構成に関する軽微な問題

解決方法

仮想サービスに関連付けられている RSA 証明書を楕円曲線 (EC) 証明書に置き換えます。ECC 証明書の代わりに RSA 証明書を使用すると、次の理由で SSL ラボのテスト グレーディングが低下します。

  • ECC 証明書は RSA 証明書よりも安全です。

  • ECC は、より小さなアルゴリズムを使用して、RSA キーよりも強力な ECC キーを生成します。

RSA は ECC よりも安全性が低いと考えられていますが、より広範な古いブラウザと互換性があります。ECC は新しく、計算コストが低く、一般的には安全性が高くなります。ただし、一部のクライアント(Web ブラウザ)ではまだ受け入れられません。

NSX Advanced Load Balancer では、RSA と ECC の 2 つの証明書を同時に使用して仮想サービスを構成できます。これにより、NSX Advanced Load Balancer はクライアントと最適なアルゴリズムまたは暗号をネゴシエートできます。クライアントが EC 証明書をサポートしている場合、NSX Advanced Load Balancer は Elliptic Curve Digital Signature Algorithm (ECDSA) を優先します。ECDSA は、Perfect Forward Secrecy (PFS) をサポートする追加のメリットを提供します。PFS は、追加の計算コストを最小限に抑えながら仮想サービスのセキュリティを強化します。

NSX Advanced Load Balancer の SSL 証明書の詳細については、「SSL 証明書」を参照してください。