2021 年 05 月 18 日
今さら聞けない常時 SSL
SSL/TLS サーバー証明書とは?
SSL/TLS サーバー証明書(以下、サーバー証明書)は、サイバートラストのように信頼された第三者機関である認証局が発行するもので、ウェブサイトを運営する組織の「実在証明」と、ウェブブラウザーとウェブサーバーの間で「暗号化通信」を行うための電子証明書です。
実在証明されたサーバー証明書が設定されているウェブサイトであれば、サイト運営組織を確認することができます。なお、サーバー証明書の認証レベルは 3 つあり、実在証明がされるのは OV(Organization Validation)と、EV(Extended Validation)になります。
実在証明 |
サイトの運営組織が実在し、ドメイン名の使用権があることを、信頼された認証局が第三者機関として証明します。 |
---|---|
暗号化通信 |
ウェブブラウザーとウェブサーバー間で暗号化通信を行い、個人情報、クレジットカード番号などが悪意ある第三者に盗み見されないようにします。 |
DV(Domain Validation)は、証明書が使用されるウェブサイトのドメインが、ドメイン使用権(使用する権利)があることのみを認証するものです。
選択すべき SSL/TLS は?
では、サーバー証明書が設定されていれば、ウェブサイトが安全と言えるのでしょうか。
SSL/TLS は、ウェブブラウザーとウェブサーバーの間で安全に通信するためのプロトコルで、通信の暗号化、接続先の確認、通信中のデータの改ざん防止ができます。これまで、SSL/TLS のバージョンは下表が存在し、2021 年 5 月現在、TLS 1.3 が最新バージョンとなります。最新バージョンではこれまでに発見された攻撃手法の対策や弱い暗号アルゴリズムの削除が行われています。
過去の サイバートラスト BLOG で公開しましたように、主要なウェブブラウザーがサポートしている SSL / TLS のバージョンは、TLS 1.2 以降となっています。
また、TLS 1.3 であっても恒久的に暗号の強度が保証されているわけではありません。いずれ当該の暗号方式についても解読手法などが確立され、安全とはいえない危険な状況になっていきます。これを暗号の 「危殆化(きたいか)」 と呼びます。この危殆化を防ぐことはできないため、最新の暗号方式を選択する必要があります。また、秘密鍵の漏えいなどによっても暗号解読の危険性を招いてしまうため、厳重に管理をする必要があります。
バージョン | リリース年 |
---|---|
SSL 1.0 | リリース前に脆弱性が発見され公開されず |
SSL 2.0 | 1994 年 |
SSL 3.0 | 1995 年 |
TLS 1.0 | 1999 年 |
TLS 1.1 | 2006 年 |
TLS 1.2 | 2008 年 |
TLS 1.3 | 2018 年 |
サーバーの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインとして、独立行政法人情報処理推進機構(IPA)が「TLS 暗号設定ガイドライン 」を公開しており、プロトコルバージョンごとの安全性の違いなどが解説されています。「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」の設定基準が記載されており、TLS 1.2 / TLS 1.3 は「高セキュリティ型」と「推奨セキュリティ型」で、必須もしくはオプションでの利用を基準としており、従来から対応している TLS 1.2 に加えて、TLS 1.3 も対応する必要があります。
(出典)独立行政法人情報処理推進機構(IPA)「TLS 暗号設定ガイドライン 」
常時 SSL が必要な理由は?
サーバー証明書を利用するウェブサイトのページとしては、情報を送信するフォームだけではなく、フォームが設置されていないすべてのページにサーバー証明書を設定する「常時 SSL 化」が進んでいます。常時 SSL は金融機関などのウェブサイトから利用がはじまり、現在では多くのウェブサイトでの利用が拡がり普及が進んでいます。
インターネット上では、なりすましという脅威が存在し、アクセスしたウェブサイトが正しい組織によって運営されていることを確認する手段がサーバー証明書です。冒頭で解説しましたが、OV および EV サーバー証明書では、サイト運営組織の実在証明が可能なためより安心して利用することができます。
常時 SSL 化されていれば、サイト内のどこにアクセスをしたとしても、サーバー証明書によりサイトの運営組織を確認することができます。一度常時 SSL 化を行えば、いつまでも万全というわけではありません。サーバー証明書には有効期限があり、有効期限までにサーバー証明書の更新を行わなければなりません。前述した暗号の危殆化に対する措置や秘密鍵の管理、そして有効期限の管理などサーバー証明書は適切に管理する必要があります。
フィッシング対策協議会では、毎月 フィッシング報告状況 を公開しています。フィッシングに悪用されたサイトでは、DV サーバー証明書が利用されています。ドメイン使用権を証明さえすれば、サーバー証明書が発行されるため、攻撃者は証明書付きフィッシングサイトを作ることが簡単にできてしまいます。フィッシングサイトのような偽物のサイトは本物のデザインに巧妙に似せて作られることが多いため、偽サイトと正規サイトを判別することが難しくなります。正規サイトを運営している組織が DV サーバー証明書を使用している場合にも判断することが難しくなるため、より信頼性の高い OV および EV サーバー証明書を利用することが必要です。