Atlas はどのようにデータを暗号化しますか。
Atlas は、クラスター データやそのデータのバックアップを含む保管中のすべてのデータに対してボリューム(ディスク)の暗号化を使用します。
Atlas では、クライアント データとクラスター内ネットワーク通信に TLS暗号化も必要です。
Atlas の暗号化に関する詳細情報が組織で必要な場合は、 Atlas MongoDB サポートにお問い合わせください。
Atlas で、 Support ページに移動します。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
ナビゲーション バーの Support アイコンをクリックします。
[View plan] をクリックします。
サポートページが表示されます。
配置で TLS を無効にできますか。
No.
Atlas はどのバージョンの TLS をサポートしていますか?
Atlas では、すべての Atlas クラスターにTLS接続が必要です。 2020 年 7 月以降、 のバージョンに関係なく、すべての新しいAtlas Atlasクラスターに対してトランスポート層セキュリティ ( TLS ) プロトコル バージョン 1.2 をデフォルトで有効にしましMongoDB 。
MongoDB 7.0 以降では TLS 1.0 のサポートは無効化されていますTLS 1.1+ が利用可能な場合TLS 1.1 または 1.0 は、がクラスター構成を編集することで手動で構成できます。
重要
年 7 月31 2025日より、Atlas はいかなる状況でも TLS1.0 または1.1 のサポートを終了します。Atlas は、TLS. または.1 への接続試行を拒否するようにすべてのクラスターをアップグレードします。011
このアップグレード中、TLS 1.0 または 1.1 用に構成されたクライアント接続は、サービス停止が発生します。これを回避するには、クラスターの最小 TLS バージョンを可能な限り早く 1.2 に設定してください。
変更のタイミングと理由の詳細については、 Payment Card Infrastructure(PCI) および NULL(NIst) が参照してください。
TLSのサポートに質問がある場合、またはTLS 1.2をサポートするようにアプリケーションを更新できない場合は、 Atlas MongoDB サポートにお問い合わせください。
Atlas サポートチケットを開くには:
Atlas で、Support ページに移動します。
まだ表示されていない場合は、以下から目的の組織を選択しますナビゲーション バーのOrganizationsメニュー
ナビゲーション バーの Support アイコンをクリックします。
[View plan] をクリックします。
サポートページが表示されます。
アプリケーションが TLS 1.2 をサポートしているかどうかを確認するには
基礎となるプログラミング言語またはセキュリティ ライブラリがTLS 1.2 より前のアプリケーションの場合、 TLS 1.2 をサポートするには最新バージョンへの更新が必要になる場合があります。 TLS 1.2 をサポートするには、アプリケーション ホストのオペレーティング システムも更新する必要がある場合があります。
MongoDBと Atlas は、TLS のバージョンがサポートする外部アプリケーションを監査するためのサービスを提供していません。showmyssl.com などのサードパーティ サービスは適切なツールを提供する可能性があります。MongoDB はこのサービスをサポートしておらず、その参照は情報提供のみです。アプリケーションを監査するためのベンダーまたはサービスを選択するには、組織の手順を使用します。
TLS 1.2 のクラスターを更新するにはどうすればよいですか?
TLS 1.2 をサポートするアプリケーションの監査を実行します。
TLS 1.2 をサポートしていないテクノロジー スタックのすべてのコンポーネントをアップデートします。
TLS 1.2 を使用するようにクラスター構成を 変更 します。
TLS 1.0 を強制的に有効にできますか。
Atlas では、 クラスターの変更 中に TLS 1.0 を手動で構成できます。
Atlas クラスターでTLS 1.0 を有効にすると、重大なリスクが生じます。 TLS 1.0 を有効にするのは、 TLS 1.2 をサポートするようにアプリケーション スタックをアップデートするために必要な期間のみにしてください。
重要
年 7 月31 2025日より、Atlas はいかなる状況でも TLS1.0 または1.1 のサポートを終了します。Atlas は、TLS. または.1 への接続試行を拒否するようにすべてのクラスターをアップグレードします。011
このアップグレード中、TLS 1.0 または 1.1 用に構成されたクライアント接続は、サービス停止が発生します。これを回避するには、クラスターの最小 TLS バージョンを可能な限り早く 1.2 に設定してください。
MongoDB Atlas TLS 証明書にはどの認証局が署名していますか。
追加の認証局として Google トラスト サービスが追加されたことにより、Atlas クラスター ノードの TLS 証明書は、高可用性を向上させるために Google トラスト サービスまたは let 暗号化のいずれかによって署名されるようになりました。 Google トラスト サービスは、 let の認証局を暗号化する と組み合わせてアクティブに使用されます。クライアントの信頼できる証明書ストアには、 ISRG ルート X1 ルート証明書に加えて、GTS Root R1、GTS Root R2、GTS Root R3、GTS Root R4 ルート認証局の CA 証明書を追加する必要がありますシームレスなサービス継続を確保するための let s Encryption の権限。
Atlas は将来、TLS 1.3 サポートに GTS Root R3 と GTS Root R4 のルート CA 証明書を使用する予定です。
注意
ほとんどのアプリケーション環境には、信頼できる認証局リストに lets Encrypt と Google トラスト サービスがすでに含まれています。
認証局証明書をダウンロードするには、Google トラスト サービスリポジトリと ISRG ルート X1 を参照してください。
注意
Atlas は証明書を自動的にローテーションします。rotateCertificates コマンドを実行する必要はありません。証明書を手動でローテーションする場合にのみ、rotateCertificates コマンドを使用してください。
Atlas クラスターによる TLS 証明書のローテーション頻度
TLS 証明書は、発行された日から90 日間有効です。証明書は、証明書の有効期限が切れる 42 日前にローテーションされます。
次のコマンドを使用して、ノードの TLS 証明書の有効期限を確認します。
echo | openssl s_client -showcerts -connect $HOSTNAME:$PORT 2> /dev/null | openssl x509 -noout -enddate
ハードコードされた認証局
中間証明書をハードコーディングしたり固定したりすることは、運用上の負荷と可用性のリスクが生じるため、推奨されません。let s Encrypt または Google トラスト サービスが固定された中間証明書をローテーションまたは置換すると、アプリケーションは接続に失敗し、停止時が発生する可能性があります。
証明書を固定する必要がある場合は、中間証明書ではなく証明機関の証明書に固定します。
Java ユーザー
Let's Encrypt の ISRG ルート証明書と Google トラスト サービスのルート証明書はどちらも、7u391 アップデート以降のJavaバージョン 7 および 8u381 以降のJavaバージョン 8 のデフォルトの信頼ストアで利用できます。187月 2023 以降のJavaリリースを使用します。
Java クライアント ソフトウェアが最新であることを確認します。 最新の Java バージョンを使用して、 TLS証明書のこれらの新しい認証局要件に加えて多くの改善を活用します。
独自のトラスト ストアがある場合は、 let の暗号化と Google トラスト サービスの証明書をそれに追加します。 詳しくは、「 MongoDB Atlas TLS 証明書に署名する認証局 」を参照してください。
Windows Server ユーザー
ISRG ルート X1 、GTS ルートR1 、GTS ルートR2 ルート認証局はWindows Server にデフォルトでは含まれていませんが、 Microsoft信頼ルート プログラムで利用できます。
信頼できるルート証明書をダウンロードするようにWindows Server を構成する方法について詳しくは、Windowsドキュメント を参照してください。
Amazon Linux AMI ユーザー
Amazon Linux AMI の一部のバージョンには、ISRG ルート X1 と GTS ルートR1 およびR2 証明書の両方がない場合があります。必要なルート証明書については、 Amazon Linuxの新しいバージョンに移行してください。2025 以降は、証明書の互換性の問題を回避するために、Atlas の ISRS ルート X1、GTS ルートR1、 R2 証明書のサポートが必要になります。
古いAmazon Linux AMI を使用する必要がある場合は、 ISRG ルート X1、GTS ルートR1、 R2 ルート認証局を手動でインストールします。
他のすべてのユーザー
最新のプログラミング言語とオペレーティング システムのバージョンを使用している場合は、この変更は に影響しません。