Azure Front Door で DHE 暗号スイートのサポートが終了するので背景などを整理してみた
いわさです。
先日アナウンスがありましたが、Azure Front Door が 2026年4月1日に DHE 暗号スイートのサポートを終了するようです。
こういった暗号スイートのサポート終了などは多くの利用者に影響がでる場合があったり、あるいは Azure 以外での他のサービスを利用する際にも参考になる場合があります。
背景などを整理したのでまとめておきます。
2026 年 4 月 1 日より前に制御する方法
本日時点で Azure ポータル上でこれらのアナウンスはありません。
以下は Azure Front Door 上でのカスタムドメインを構成する画面です。TLS セキュリティポリシーを選択することが出来ますが、将来サポートが終了する DHE_RSA 系の暗号スイートも選択できます。
アップデートアナウンスに記載されていますが 2026 年 4 月 1 日の暗号スイートの終了前でもクライアントに対する暗号スイートポリシーについては以下からカスタマイズすることができます。
TLS_AES_256_GCM_SHA384とTLS_AES_128_GCM_SHA256はTLS1.3の暗号スイートです。これらは必須となっています。それらはTLS1.2の暗号スイートで任意選択です。
今回廃止される暗号スイートはDHE_RSA_AES256_GCM_SHA384とDHE_RSA_AES128_GCM_SHA256です。これらの選択をオフにしておきましょう。
ただし、今回のアナウンスでは Azure Front Door からオリジンへの TLS サポートについても同様の変更があります。ここについてはカスタマイズができないので、2026年4月1日というマイルストーンは意識しておきましょう。
背景の確認
今回の変更については上冒頭のアナウンス以外に、以下についてもドキュメントが用意されています。
DHE_RSAの暗号スイートは非推奨で、以下が推奨される暗号スイートとなっています。
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
また、TLS1.2 における DHE の RSA 鍵交換の廃止については IETF の以下ドキュメントにまとまっています。
Azure Front Door のセキュリティポリシーでは TLS1.2がサポートする暗号スイートの中で鍵交換アルゴリズムの違いによる暗号スイートの選択が可能です。
アルゴリズムの違いによってセキュリティ対策上の問題があるため今回のように一部暗号スイートのサポート終了が Azure Front Door でも行われました。
TLS 1.2 における暗号スイートの推奨・非推奨については以前以下の登壇でもお話したことがあります。参考にしてください。
さいごに
本日は Azure Front Door で DHE 暗号スイートのサポートが終了するので背景などを整理してみました。
Azure 以外のプラットフォームでも TLS 1.2 の暗号スイートを選択する際に DHE_RSA をサポートすべきかどうかの参考情報になると思います。
