Node.js TLS/SSL暗号スイート一覧取得！tls.getCiphers()の活用法

2025-06-01

tls.getCiphers() は、Node.js の tls (Transport Layer Security) モジュールに用意されている関数の一つです。この関数を呼び出すと、現在 Node.js がサポートしている TLS/SSL 暗号スイートのリストが配列として返されます。

もう少し詳しく説明します。

tls.getCiphers() を実行することで、あなたの Node.js 環境がどのような暗号スイートに対応しているのかをプログラム上で確認することができます。これは、セキュリティ設定の確認や、特定の暗号スイートが利用可能かどうかをチェックする際に役立ちます。
TLS/SSL 暗号スイート (Cipher Suites) とは、安全な通信を確立する際に、どの暗号化アルゴリズムや鍵交換アルゴリズム、メッセージ認証コード (MAC) アルゴリズムを使用するかを決定するための一連のアルゴリズムの組み合わせのことです。クライアントとサーバーが通信を開始する際に、互いにサポートしている暗号スイートの中から一つを選択し、その後の通信で使用します。

例えば、以下のようなコードで tls.getCiphers() の結果を確認できます。

const tls = require('tls');

const ciphers = tls.getCiphers();
console.log(ciphers);

以下に、よく見られる状況とトラブルシューティングのポイントを挙げます。

tls.getCiphers() の戻り値が空の配列である場合

トラブルシューティング
- 使用している Node.js のバージョンを確認し、最新の安定版にアップデートすることを検討してください。
- Node.js のインストールが正常に行われているかを確認してください。必要であれば再インストールを試みてください。
原因
これは非常に稀なケースですが、Node.js のビルド環境に問題があるか、極めて古いバージョンの Node.js を使用している場合に起こりうるかもしれません。

期待する暗号スイートがリストに含まれていない場合

トラブルシューティング
- 使用している Node.js のバージョンを確認し、必要な暗号スイートがサポートされているかドキュメントを確認してください。
- Node.js を最新の安定版にアップデートすることを検討してください。
- カスタムビルドの Node.js の設定を確認してください。
原因
- Node.js のバージョンが古く、その暗号スイートをサポートしていない可能性があります。
- OpenSSL などの TLS/SSL ライブラリのバージョンが古く、必要な暗号スイートが含まれていない可能性があります（Node.js は内部的にこれらのライブラリを利用しています）。
- カスタムビルドの Node.js を使用している場合、必要な暗号スイートが意図的に除外されている可能性があります。

tls.getCiphers() の結果を基に暗号スイートを設定した際にエラーが発生する場合

トラブルシューティング
- tls.createServer() や tls.connect() などのオプションで ciphers を設定する際の文字列が正しい OpenSSL の書式に従っているか確認してください。Node.js のドキュメントや OpenSSL のドキュメントを参照してください。
- クライアントとサーバーの両方で tls.getCiphers() を実行し、共通してサポートされている暗号スイートが存在することを確認してください。
- minVersion や maxVersion オプションで TLS/SSL プロトコルのバージョンを適切に設定しているか確認してください。特定の暗号スイートが必要な場合は、対応する TLS バージョン以上を指定する必要があります。
- エラーメッセージをよく読み、具体的な原因を特定してください。
原因
- 設定しようとしている暗号スイートの書式が間違っている可能性があります。ciphers オプションに指定する文字列は、OpenSSL の書式に従う必要があります。
- クライアントとサーバーで共通してサポートされている暗号スイートが存在しない場合、接続が確立できずにエラーが発生します（例: Error: No shared cipher suites).
- 特定の暗号スイートは、利用する TLS/SSL プロトコルのバージョンに依存する場合があります。例えば、新しい暗号スイートは古い TLS バージョンでは利用できないことがあります。

セキュリティに関する誤解

誤解
tls.getCiphers() の結果に含まれる暗号スイートは全て安全であると考えるのは間違いです。古い暗号スイートの中には、既知の脆弱性が存在するものが含まれている可能性があります。

セキュリティ要件の高いアプリケーションでは、デフォルトの暗号スイートに頼らず、明示的に安全な暗号スイートを設定することが推奨されます。
tls.getCiphers() はあくまで利用可能な暗号スイートのリストを提供するものであり、実際に使用される暗号スイートはクライアントとサーバーのネゴシエーションによって決定されます。

例1: 利用可能な暗号スイートをリスト表示する

これは最も基本的な使用例です。Node.js がサポートしている暗号スイートの一覧をコンソールに出力します。

const tls = require('tls');

const ciphers = tls.getCiphers();
console.log('利用可能な暗号スイート:');
ciphers.forEach(cipher => {
  console.log(`- ${cipher}`);
});

このコードを実行すると、Node.js 環境で利用できる暗号スイートの名前が一つずつ表示されます。

例2: 特定の暗号スイートが利用可能かどうかを確認する

特定の暗号スイートが環境でサポートされているかを確認する例です。

const tls = require('tls');

const targetCipher = 'TLS_AES_128_GCM_SHA256'; // 確認したい暗号スイート名

const ciphers = tls.getCiphers();
if (ciphers.includes(targetCipher)) {
  console.log(`${targetCipher} は利用可能です。`);
} else {
  console.log(`${targetCipher} は利用できません。`);
}

この例では、TLS_AES_128_GCM_SHA256 という暗号スイートが利用可能かどうかをチェックし、結果をコンソールに出力します。

例3: サーバーの TLS 設定で利用可能な暗号スイートを確認する (間接的な利用)

const tls = require('tls');
const https = require('https');
const fs = require('fs');

const privateKey = fs.readFileSync('server-key.pem');
const certificate = fs.readFileSync('server-cert.pem');

const availableCiphers = tls.getCiphers();
console.log('利用可能な暗号スイート:', availableCiphers);

// 安全な暗号スイートの例 (実際には環境に合わせて調整が必要です)
const preferredCiphers = [
  'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384',
  'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384',
  'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256',
  'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256',
  // ... 他の推奨される暗号スイート
];

const server = https.createServer({
  key: privateKey,
  cert: certificate,
  ciphers: preferredCiphers.join(':'), // コロン区切りで指定
  // TLS のバージョンなどをさらに設定することも可能です
}, (req, res) => {
  res.writeHead(200);
  res.end('Hello, HTTPS!');
});

const port = 3000;
server.listen(port, () => {
  console.log(`サーバーがポート ${port} で起動しました。`);
});

const tls = require('tls');
const https = require('https');
const fs = require('fs');

const ca = fs.readFileSync('server-cert.pem'); // サーバー証明書 (自己署名証明書の場合など)

const availableCiphers = tls.getCiphers();
console.log('利用可能な暗号スイート:', availableCiphers);

const options = {
  host: 'localhost',
  port: 3000,
  path: '/',
  method: 'GET',
  ca: [ca], // サーバー証明書を信頼するために必要
  ciphers: 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256', // クライアントが優先する暗号スイート
};

const req = https.request(options, (res) => {
  console.log('ステータスコード:', res.statusCode);
  res.on('data', (chunk) => {
    console.log('レスポンス:', chunk.toString());
  });
});

req.on('error', (error) => {
  console.error('エラー:', error);
});

req.end();

tls.getCiphers() の直接的な代替手段は存在しませんが、同様の目的を達成するために、以下のようないくつかの間接的な方法や関連する情報源を利用できます。

Node.js のドキュメントやリリースノートを参照する

例
Node.js の公式ウェブサイトで、使用しているバージョンのドキュメントや API リファレンスを参照します。
欠点
プログラム内で動的に利用可能な暗号スイートのリストを取得することはできません。あくまで静的な情報として参照する必要があります。
利点
正式な情報源であり、特定の Node.js バージョンにおける正確なサポート状況を把握できます。
方法
Node.js の公式ドキュメントや各バージョンのリリースノートには、サポートされる TLS/SSL 機能や暗号スイートの変更に関する情報が記載されています。

OpenSSL のドキュメントやコマンドラインツールを利用する

例
ターミナルで openssl ciphers -v ALL などのコマンドを実行すると、OpenSSL がサポートする暗号スイートの詳細なリストが表示されます。
欠点
Node.js が実際にどの暗号スイートを有効にしているかは、Node.js の設定やビルドオプションによって異なる場合があります。また、プログラムから直接この情報を取得することは通常できません。
利点
より詳細な情報や、OpenSSL のバージョンごとのサポート状況を把握できます。
方法
Node.js は内部的に OpenSSL などの TLS/SSL ライブラリを利用しています。OpenSSL のドキュメントや openssl コマンドラインツールを使うことで、システムにインストールされている OpenSSL がサポートする暗号スイートのリストを確認できます。

サードパーティのライブラリやツールを利用する

例
セキュリティ監査ツールなどが、接続先のサーバーがサポートする暗号スイートを分析する機能を持っていることがあります。
欠点
信頼できるライブラリを選ぶ必要があります。また、Node.js の環境に依存しない情報である可能性があります。
利点
より使いやすいインターフェースや、追加の分析機能を提供している場合があります。
方法
TLS/SSL の設定や分析に特化したサードパーティのライブラリやツールの中には、利用可能な暗号スイートに関する情報を提供するものがあります。

既知の推奨される暗号スイートのリストをハードコードする

例
欠点
Node.js のバージョンや OpenSSL のバージョンによってサポート状況が異なる可能性があるため、注意が必要です。また、新しい安全な暗号スイートが追加された場合に、手動でリストを更新する必要があります。
利点
常に安全性の高い暗号スイートを使用するように制御できます。
方法
セキュリティに関するベストプラクティスや、Mozilla Security Configuration Generator などのツールが提供する推奨される暗号スイートのリストをアプリケーション内に直接記述して使用します。

const secureCiphers = [
  'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384',
  'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384',
  // ... 他の推奨される暗号スイート
].join(':');

// サーバー作成時の設定
const serverOptions = {
  // ... 他の設定
  ciphers: secureCiphers,
};

環境変数や設定ファイルで暗号スイートを指定する

例
欠点
設定ミスが発生する可能性があります。また、利用可能な暗号スイートであるかどうかをプログラム内で検証する必要がある場合があります。
利点
アプリケーションのコードを変更せずに、暗号スイートの設定を柔軟に変更できます。
方法
利用する暗号スイートのリストを環境変数や設定ファイルで定義し、Node.js アプリケーションの起動時に読み込んで ciphers オプションに設定します。

// 環境変数から暗号スイートを取得
const ciphersFromEnv = process.env.TLS_CIPHERS;
const ciphersToUse = ciphersFromEnv || 'DEFAULT'; // デフォルト値を設定することも可能

const serverOptions = {
  // ... 他の設定
  ciphers: ciphersToUse,
};

目的が「利用可能な暗号スイートを確認する」である場合、tls.getCiphers() が最も直接的で簡単な方法です。
これらの代替方法は、tls.getCiphers() が提供する「現在の Node.js 環境で利用可能な暗号スイートの動的なリスト」を直接的に取得するものではありません。

Node.js TLS/SSL newSession イベントの仕組みと活用方法

もう少し詳しく説明すると、以下のようになります。リスナーの引数イベントリスナー関数には、通常、確立された新しいセッションに関する情報を持つオブジェクトが引数として渡されます。具体的なオブジェクトの型やプロパティは、Node. js のバージョンやモジュールの詳細によって異なる場合がありますが、セッションIDなどの情報が含まれていることが多いです。

Node.js イベント駆動：OCSPRequest イベントハンドラの書き方

もう少し詳しく説明します。OCSP とはその役割OCSP は、X.509 デジタル証明書の失効ステータスをリアルタイムで確認するためのプロトコルです。従来の証明書失効リスト (CRL) と比較して、よりタイムリーで効率的な失効確認方法を提供します。

Node.js プログラミング：OCSPResponse イベントの基礎から応用、エラー対策

より具体的に説明すると、以下のようになります。OCSP (Online Certificate Status Protocol) とは？まず、OCSPは、X.509デジタル証明書の有効性をリアルタイムで確認するためのプロトコルです。通常、証明書の有効性は失効リスト (CRL: Certificate Revocation List) を参照することで確認されますが、CRLはサイズが大きくなる可能性があり、更新頻度も高くない場合があります。OCSPは、証明書の発行局 (CA: Certificate Authority) が運用するOCSPレスポンダと呼ばれるサーバーに問い合わせることで、特定の証明書が現在有効かどうかを即座に確認できます。