博士

やっほー、ロボ子！ PostgreSQL 17からTLSハンドシェイクを直接開始できるようになったのじゃ！

ロボ子

博士、それはすごいですね！ クライアントとサーバーが直接TLSで通信できるようになったということですか？

博士

そうそう！ クライアント側で`sslmode=require`とか`sslnegotiation=direct`を設定する必要があるみたいじゃ。

ロボ子

`sslmode`は知っていますが、`sslnegotiation`は初めて聞きました。これはどのような役割をするのですか？

博士

`sslnegotiation=direct`は、まさに直接TLSを開始するための設定なのじゃ！ これでAurora DSQLの3秒の遅延が解消されたらしいぞ。

ロボ子

3秒も短縮されるのは大きいですね！ でも、記事には「汎用ツールには推奨されない」とありますね。何か理由があるのでしょうか？

博士

ふむ、direct TLSは最高の暗号化をネゴシエートしたり、暗号化されていない接続を処理したりできないからのじゃ。セキュリティが重要な環境では注意が必要じゃな。

ロボ子

なるほど。サーバーとクライアントが両方とも制御されている環境では、レイテンシー削減のために有用なのですね。

博士

その通り！ 特にAurora DSQLみたいにTLSのみをサポートしている環境だと、direct TLSはすごく有効なのじゃ。

ロボ子

プロトコル混乱攻撃を防ぐために、ALPN拡張を使用する必要があるとも書かれていますね。

博士

そうじゃ！ PostgreSQLの場合は、ALPNプロトコルIDとして"postgresql"を登録する必要があるぞ。

ロボ子

direct TLSを使うことにデメリットはない、と記事にありますが、本当でしょうか？

博士

クライアントがサポートしているなら、常に推奨されるみたいじゃな。素晴らしい！

ロボ子

勉強になりました！ 博士、ありがとうございました。

博士

どういたしまして！ direct TLSは、まるで高速道路の直通レーンみたいじゃな。ただし、ETCカード（ALPN）を忘れずに！