【アップデート】Amazon CloudFront　TLS 3.0のセッション再開をサポート

みなさん、こんにちは。サニービュー事業部の小寺です。
Amazon CloudFront がビューワー接続のために TLS 1.3 セッション再開をサポートするようになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/06/amazon-cloudfront-supports-tls-1-3-session-resumption-viewer-connections/

CloudFrontのTLS3.0接続サポート

CloudFrontでは、2020年9月時点からTLSバージョン1.3によるビューワー接続のサポートがされています。
TLSバージョン1.3を利用することによって、以前の TLS1.2バージョンと比較すると、接続パフォーマンス自体が30％改善されています。
以下がビューワーと CloudFront 間でサポートしているプロトコルと暗号の一覧です。

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.htmlより引用

今回のアップデートのメリット

セッション再開とはどういった動作になるのでしょうか。実はTLSでは、切断したセッションを再開するための TLSセッションリサンプション(session resumption）という機能をもっています。SSL セッション再利用（Session Resumption）とは、初回の通信でクライアントとウェブサーバとの間で確立した暗号化のためのセッション情報を、同じ相手との 2 回目以降の通信で使いまわす機能を意味します。

そもそも、TLS1.2までのバージョンでは、暗号化通信が開始されるまでのハンドシェイクに時間がかかっていました。TLSv1.3 は、往復の通信回数を1回は削減できるシンプルなハンドシェークプロセスを使うことにより、パフォーマンスも向上しています。

今回CloudFrontのTLS 1.3 セッション再開がサポートされることによって、パフォーマンスは最大 50%改善されるとのことです。セッション再開では、以前に TLS 接続を行っていたサーバーにクライアントが再接続すると、サーバーはクライアントによって送信された事前共有キーを使用してセッションチケットを復号し、セッションを再開します。

アップデートのTLS3.0のセッション再開を利用するには

TLS セッション再開は、TLS 1.3 を使っていれば、自動的に有効になります。有効化するためのCloudFront側での設定は一切不要です。注意事項としては、アプリケーションが古いバージョンの OpenJDK を使っている場合、最新の安定した OpenJDK バージョンへの更新がおすすめです。というのは、古いバージョンのOpenJDK は、クライアントがセッション再開の実行を試みる際に接続の問題を引き起こす可能性があるためです。

いかがでしたでしょうか。本アップデートはCloudFornt側の対応も不要でTLS1.3が有効な場合は、自動で有効となっています。