# ビューワーと CloudFront との間でサポートされているプロトコルと暗号 [ビューワーと CloudFront ディストリビューションとの間で HTTPS が必要](DownloadDistValuesCacheBehavior.md#DownloadDistValuesViewerProtocolPolicy)である場合は、[セキュリティポリシー](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy)を選択する必要があります。これにより、次の設定が決定されます。 + CloudFront でビューワーとの通信に使用する最小の SSL/TLS プロトコル。 + ビューワーとの通信を暗号化するために CloudFront が使用できる暗号。セキュリティポリシーを選択するには、[セキュリティポリシー (SSL/TLS の最小バージョン）](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) に該当する値を指定します。以下の表は、各セキュリティポリシーで CloudFront が使用できるプロトコルと暗号化方式の一覧です。ビューワーは、CloudFront との HTTPS 接続を確立するために、これらの暗号のうち少なくとも 1 つをサポートする必要があります。CloudFront は、ビューワーがサポートする暗号化方式から一覧順で暗号化方式を選択します。「[OpenSSL、s2n、および RFC の暗号名](#secure-connections-openssl-rfc-cipher-names)」も参照してください。

	セキュリティポリシー
	SSLv3	TLSv1	TLSv1\_2016	TLSv1.1\_2016	TLSv1.2\_2018	TLSv1.2\_2019	TLSv1.2\_2021	TLSv1.2\_2025	TLSv1.3\_2025
サポートされている SSL/TLS プロトコル
TLSv1.3	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLSv1.2	♦	♦	♦	♦	♦	♦	♦	♦
TLSv1.1	♦	♦	♦	♦
TLSv1	♦	♦	♦
SSLv3	♦
サポートされている TLSv1.3 暗号
TLS\_AES\_128\_GCM\_SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_AES\_256\_GCM\_SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_CHACHA20\_POLY1305\_SHA256	♦	♦	♦	♦	♦	♦	♦		♦
サポートされる ECDSA 暗号
ECDHE-ECDSA-AES128- GCM-SHA256	♦	♦	♦	♦	♦	♦	♦	♦
ECDHE-ECDSA-AES128-SHA256	♦	♦	♦	♦	♦	♦
ECDHE-ECDSA-AES128-SHA	♦	♦	♦	♦
ECDHE-ECDSA-AES256- GCM-SHA384	♦	♦	♦	♦	♦	♦	♦	♦
ECDHE-ECDSA-CHACHA20-POLY1305	♦	♦	♦	♦	♦	♦	♦
ECDHE-ECDSA-AES256-SHA384	♦	♦	♦	♦	♦	♦
ECDHE-ECDSA-AES256-SHA	♦	♦	♦	♦
サポートされる RSA 暗号
ECDHE-RSA-AES128- GCM-SHA256	♦	♦	♦	♦	♦	♦	♦	♦
ECDHE-RSA-AES128-SHA256	♦	♦	♦	♦	♦	♦
ECDHE-RSA-AES128-SHA	♦	♦	♦	♦
ECDHE-RSA-AES256- GCM-SHA384	♦	♦	♦	♦	♦	♦	♦	♦
ECDHE-RSA-CHACHA20-POLY1305	♦	♦	♦	♦	♦	♦	♦
ECDHE-RSA-AES256-SHA384	♦	♦	♦	♦	♦	♦
ECDHE-RSA-AES256-SHA	♦	♦	♦	♦
AES128-GCM-SHA256	♦	♦	♦	♦	♦
AES256-GCM-SHA384	♦	♦	♦	♦	♦
AES128-SHA256	♦	♦	♦	♦	♦
AES256-SHA	♦	♦	♦	♦
AES128-SHA	♦	♦	♦	♦
DES-CBC3-SHA	♦	♦
RC4-MD5	♦

## OpenSSL、s2n、および RFC の暗号名 OpenSSL と [s2n](https://github.com/awslabs/s2n) では、TLS 標準で使用されている暗号名 ([RFC 2246](https://tools.ietf.org/html/rfc2246)、[RFC 4346](https://tools.ietf.org/html/rfc4346)、[RFC 5246](https://tools.ietf.org/html/rfc5246)、 [RFC 8446](https://tools.ietf.org/html/rfc8446)) とは異なる暗号名が使用されます。以下の表では、各暗号化方式の OpenSSL 名と s2n 名から RFC 名までを示しています。 CloudFront は、従来の鍵交換と量子安全鍵交換の両方をサポートしています。楕円曲線を使用する従来の鍵交換の場合、CloudFront は以下をサポートしています。 + `prime256v1` + `X25519` + `secp384r1` 量子安全鍵交換の場合、CloudFront は以下のものをサポートしています。 + `X25519MLKEM768` + `SecP256r1MLKEM768` **注記** 量子安全鍵交換は TLS 1.3 でのみサポートされています。TLS 1.2 以前のバージョンでは、量子安全鍵交換はサポートされていません。詳細については、以下の各トピックを参照してください。 + [ポスト量子暗号化](https://aws.amazon.com/security/post-quantum-cryptography/) + [Cryptography algorithms and AWS のサービス](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/aws-cryptography-services.html#algorithms) + [Hybrid key exchange in TLS 1.3](https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/) CloudFront の証明書要件の詳細については、「[CloudFront で SSL/TLS 証明書を使用するための要件](cnames-and-https-requirements.md)」を参照してください。

OpenSSL および s2n の暗号名	RFC の暗号名
サポートされている TLSv1.3 暗号
TLS\_AES\_128\_GCM\_SHA256	TLS\_AES\_128\_GCM\_SHA256
TLS\_AES\_256\_GCM\_SHA384	TLS\_AES\_256\_GCM\_SHA384
TLS\_CHACHA20\_POLY1305\_SHA256	TLS\_CHACHA20\_POLY1305\_SHA256
サポートされる ECDSA 暗号
ECDHE-ECDSA-AES128- GCM-SHA256	TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_GCM\_SHA256
ECDHE-ECDSA-AES128-SHA256	TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA256
ECDHE-ECDSA-AES128-SHA	TLS\_ECDHE\_ECDSA\_WITH\_AES\_128\_CBC\_SHA
ECDHE-ECDSA-AES256- GCM-SHA384	TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_GCM\_SHA384
ECDHE-ECDSA-CHACHA20-POLY1305	TLS\_ECDHE\_ECDSA\_WITH\_CHACHA20\_POLY1305\_SHA256
ECDHE-ECDSA-AES256-SHA384	TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA384
ECDHE-ECDSA-AES256-SHA	TLS\_ECDHE\_ECDSA\_WITH\_AES\_256\_CBC\_SHA
サポートされる RSA 暗号
ECDHE-RSA-AES128- GCM-SHA256	TLS\_ECDHE\_RSA\_WITH\_AES\_128\_GCM\_SHA256
ECDHE-RSA-AES128-SHA256	TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA256
ECDHE-RSA-AES128-SHA	TLS\_ECDHE\_RSA\_WITH\_AES\_128\_CBC\_SHA
ECDHE-RSA-AES256- GCM-SHA384	TLS\_ECDHE\_RSA\_WITH\_AES\_256\_GCM\_SHA384
ECDHE-RSA-CHACHA20-POLY1305	TLS\_ECDHE\_RSA\_WITH\_CHACHA20\_POLY1305\_SHA256
ECDHE-RSA-AES256-SHA384	TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA384
ECDHE-RSA-AES256-SHA	TLS\_ECDHE\_RSA\_WITH\_AES\_256\_CBC\_SHA
AES128-GCM-SHA256	TLS\_RSA\_WITH\_AES\_128\_GCM\_SHA256
AES256-GCM-SHA384	TLS\_RSA\_WITH\_AES\_256\_GCM\_SHA384
AES128-SHA256	TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA256
AES256-SHA	TLS\_RSA\_WITH\_AES\_256\_CBC\_SHA
AES128-SHA	TLS\_RSA\_WITH\_AES\_128\_CBC\_SHA
DES-CBC3-SHA	TLS\_RSA\_WITH\_3DES\_EDE\_CBC\_SHA
RC4-MD5	TLS\_RSA\_WITH\_RC4\_128\_MD5

## ビューワーと CloudFront 間でサポートされている署名スキーム CloudFront では、ビューワーと CloudFront 間の接続について、次の署名スキームがサポートされています。

	セキュリティポリシー
署名スキーム	SSLv3	TLSv1	TLSv1\_2016	TLSv1.1\_2016	TLSv1.2\_2018	TLSv1.2\_2019	TLSv1.2\_2021	TLSv1.2\_2025	TLSv1.3\_2025
TLS\_SIGNATURE\_SCHEME\_RSA\_PSS\_PSS\_SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PSS\_PSS\_SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PSS\_PSS\_SHA512	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PSS\_RSAE\_SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PSS\_RSAE\_SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PSS\_RSAE\_SHA512	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PKCS1\_SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PKCS1\_SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PKCS1\_SHA512	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PKCS1\_SHA224	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SHA512	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SHA224	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SECP256R1\_SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SECP384R1\_SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_RSA\_PKCS1\_SHA1	♦	♦	♦	♦
TLS\_SIGNATURE\_SCHEME\_ECDSA\_SHA1	♦	♦	♦	♦