Q&A
sslハンドシェイクについて調べてみるといいのでは。
クライアント側からクライアントが対応しているバージョン(複数)をサーバーに提示して、サーバー側が自身とクライアントのサポートしているバージョンとを突き合わせて、最適なバージョンを選びます。一致するバージョンがなければハンドシェイクに失敗します。
実現したいこと
STARTTLSでAmazon SES SMTPポイントにTLS1.2で接続したい
前提
Amazonから、SESに接続するアプリケーションをTLS1.2に更新する必要があるとの通知がありました。
発生している問題・エラーメッセージ
SES側がTLS1.2に更新されると、STARTTLSとの接続もTLS1.2となるのでしょうか?
補足情報(FW/ツールのバージョンなど)
JavaはOpenJDK11.0.5を利用しています。
「SESに接続するアプリケーションをTLS1.2に更新する必要があるとの通知」の内容を具体的に記載してください (質問を編集して追記ください)。
回答1件
0
以下ドキュメントに対応バージョンについて記載があります。
Amazon SES およびセキュリティプロトコル
Amazon SES は、TLS で暗号化された接続を確立するために、STARTTLS および TLS ラッパーという 2 つのメカニズムをサポートしています。
STARTTLS – STARTTLS とは、暗号化されていない接続を暗号化された接続にアップグレードする方法です。STARTTLS には、様々なプロトコルに対応したバージョンがあります。SMTP バージョンは、「RFC 3207」に定義されています。STARTTLS 接続の場合、Amazon SES は TLS 1.2、TLS 1.3、および SSLv2Hello をサポートします。
TLS Wrapper – TLS Wrapper (SMTPS またはハンドシェイクプロトコルとも呼ばれる) は、最初に暗号化されていない接続を確立するのではなく、最初から暗号化された接続を開始する方法です。TLS ラッパーを使用する場合、Amazon SES SMTP エンドポイントは TLS ネゴシエーションを実行しません。TLS を使用してエンドポイントに接続し、通信全体で TLS の使用を継続するのはクライアントの役割です。TLS ラッパーは古いプロトコルですが、数多くのクライアントが今もサポートしています。TLS ラッパー接続の場合、Amazon SES は TLS 1.2 をサポートします。
向こう側がサポートしているバージョンに合わせてください。
投稿2023/08/28 07:13
総合スコア7640
早速の回答ありがとうございます。
STARTTLSは相手側(今回だとSES)に合わせたTLSのバージョンで接続する、ということではないのでしょうか?
それともSTARTTLSでTLS1.2を強制的に設定しないといけないのでしょうか?
ここでSTARTTLSと言ってるのはクライアント側を指してますか?
STARTTLSとしか書いていないので具体的に何を使ってどのような設定で接続しているのかわかりません。
書いてあるとおりTLS 1.2、TLS 1.3、および SSLv2Helloのいずれかに対応している必要があるのですが現状それらのいずれにも対応していないクライアントを使ってアクセスしていないかを確認してください。
AWSでWebアプリをJavaで作成しており、JavamailでSTARTTLSを使ってSESに接続してメールを送信しています。
Javaバージョンは補足に記載の通りで、TLS1.2には対応していますが、AWSマネジメントコンソールをみると、TLS1.0で接続しているとのアラートが上がっており、質問した次第です。
それはJavamailの設定の範疇になると思うので詳細はそちらを調べてみてほしいのですが、明示的に1.2を使用する設定にしてはどうでしょうか。
どこかしらで設定をしているのではないですか?
あなたの回答
tips
プレビュー
