View
21
Download
0
Category
Preview:
Citation preview
SSL/TLS暗号設定ガイドライン~ 安全なウェブサイトのために(暗号設定対策編)
IPA 技術本部 セキュリティセンター
暗号グループ
神田 雅透
1セキュリティEXPO2018
安全なウェブサイト構築に向けた普及啓発資料集
セキュリティEXPO2018 2
https://www.ipa.go.jp/security/vuln/index.html#section20
「SSL/TLS暗号設定ガイドライン」とは
セキュリティEXPO2018 3
有識者の知見を集約したSSL/TLSを安全に使うためのBest Practice• SSL/TLSの安全性と可用性(相互接続性)のバランスを踏まえた推奨暗号設定方法をガイダンス
• 3段階の推奨設定基準を用意
• 設定確認するための「チェックリスト」
主な想定読者
• 具体的な構築・設定を行うサーバ構築者
• サービス提供に責任を持つサーバ管理者
• サーバ構築を発注するシステム担当者
2015年公開以来、14万件以上のダウンロード実績
「CRYPTREC」とは
セキュリティEXPO2018 4
総務省・経済産業省・NICT・IPAが実施している暗号技
術評価プロジェクト。暗号技術の専門家により安全性と実装性に優れると判断された「CRYPTREC暗号リスト」を作成・公表
暗号技術検討会事務局:総務省、経済産業省
暗号技術調査WG
暗号技術評価委員会事務局:NICT, IPA
暗号技術活用委員会事務局:IPA, NICT
「暗号技術の安全性評価を中心とした技術的な検討課題」を担当
「セキュリティ対策の推進、暗号技術の利用促進に向けた運用ガイドラインの整備」を
担当
政府機関の情報セキュリティ対策のための統一基準(NISC)からも参照
SSL/TLSの動作原理
セキュリティEXPO2018 5
ブラウザ サイトA
{利用可能な暗号スイート一覧,利用可能なプロトコルバージョン}
{利用する暗号スイート・プロトコルバージョンの情報、
サイトAのサーバ証明書}
① アクセス先の確認
サーバ証明書の検証
サーバ証明書が正しいから
サイトAで間違いない
暗号スイート・プロトコルバージョンの決定
さて、どれを選ぼうかな?
② 暗号通信用セッション鍵の交換
暗号通信用セッション鍵を作ってサイトAと秘密裏に交換しよう
サーバ証明書
サイトA間との暗号通信路
③ 暗号通信
SSL/TLSを安全に使ううえでのキーワード
セキュリティEXPO2018 6
【 暗号スイート 】多数の「共通鍵暗号・公開鍵暗号・署名・ハッシュ関数」の組合せ
【 サーバ証明書 】認証局(CA)や公開鍵暗号基盤(PKI)を基にアクセス先が信用できるか判断
【 プロトコルバージョン 】バージョンアップを5回繰り返して約25年間利用してきたプロトコル
安全性と相互接続性のバランスを
どう取ればいいの?
SSL/TLSサーバ構築で何に注意しないといけないの?
どうやれば最近の攻撃を回避できるの?
SSL/TLS暗号設定ガイドラインの基本方針
セキュリティEXPO2018 7
安全なSSL/TLSサーバ構築に必要な暗号設定を示す
安全性と相互接続性のバランスをどう取るか
高セキュリティ型 推奨セキュリティ型 セキュリティ例外型
プロトコルバージョン・・・不必要なバージョンを利用させない設定
バランスに応じた推奨設定とは何か
サーバ証明書 ・・・ サーバ証明書を不正利用させない設定
暗号スイート ・・・ 弱い暗号を利用させない設定
チェックリスト ・・・ 必要な推奨設定項目の設定忘れの防止策
必要な推奨設定項目の設定確認をどうやるか
3段階の(旧)設定基準(@2015年5月)
セキュリティEXPO2018 8
設定基準 概要 安全性 相互接続性
高セキュリティ型
漏えいすると致命的または壊滅的な悪影響を及ぼすと予想される情報を通信するような場合※とりわけ高い安全性を必要とする明確な理由があるケースが対象で、非常に高度で限定的な使い方
標準的な水準を大きく上回る高い安全性水準を達成
最近のOSやブ
ラウザでなければ接続できない可能性が高い
推奨セキュリティ型
漏えいすると何らかの悪影響を及ぼすと予想される情報を、安全性確保と利便性実現をバランスさせて通信するような場合※ほぼすべての一般的な利用形態で使うことを想定
標準的な安全性水準を実現
本ガイドラインで対象とするブラウザであれば問題なく相互接続性を確保
セキュリティ例外型
脆弱なプロトコルバージョンや暗号が使われるリスクを受容したうえで、安全性よりも相互接続性に対する要求をやむなく優先させて通信するような場合※推奨セキュリティ型への早期移行を前提として、暫定的に利用継続するケースを想定
推奨セキュリティ型への移行完了までの短期的な利用を前提に許容可能な最低の安全性水準を満たす
最新ではないフィーチャーフォンやゲーム機などを含めた、ほとんどのすべての機器について相互接続性を確保
(旧)要求設定項目の整理(@2015年5月)
セキュリティEXPO2018 9
要件 高セキュリティ型 推奨セキュリティ型 セキュリティ例外型
想定対象 G2G 一般 レガシー携帯電話を含む
暗号スイートの
(暗号化の)セキュリティレベル
①256 bit②128 bit
①128 bit②256 bit
① 128 bit② 256 bit
③ RC4, Triple DES暗号アルゴリズ
ム
鍵交換 DHE 2048 bit以上または
ECDHE 256 bit以上
DHE 1024 bit以上またはECDHE 256 bit以上
RSA 2048 bit以上
ECDH 256 bit以上
暗号化 鍵長128ビット及び256ビットの AES または CamelliaRC4
Triple DESモード GCM GCM, CBC
ハッシュ関数 SHA-384, SHA-256 SHA-384, SHA-256, SHA-1プロトコルバージョン TLS1.2のみ TLS1.2 ~ TLS1.0 TLS1.2~1.0, SSL3.0証明書での鍵長 鍵長2048ビット以上のRSA または 鍵長256ビット以上のECDSA
証明書でのハッシュ関数 SHA-256 SHA-256, SHA-1
推奨セキュリティ型要求設定(@2015年5月)
セキュリティEXPO2018 10
プロトコルバージョン
サーバ証明書
TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0◎ ○ ○ × ×
- ◎ ○ × ×
- - ◎ × ×○:設定有効(◎:優先するのが望ましい) ×:設定無効化 -:実装なし
暗号アルゴリズムと鍵長
サーバ証明書の鍵情報(Subject Public Key Info)のアルゴリズム(Subject Public Key Algorithm)と鍵長は以下のいずれかを必須
RSAで鍵長は2048ビット以上
楕円曲線暗号で鍵長256ビット以上
CAの署名アルゴリズム(Certificate Signature Algorithm)と鍵長は以下のいずれかを必須
RSA署名とSHA-256の組合せで鍵長2048ビット以上
ECDSAとSHA-256の組合せで鍵長256ビット以上
推奨セキュリティ型要求設定(@2015年5月)
セキュリティEXPO2018 11
暗号スイートの設定楕円曲線暗号なし 楕円曲線暗号分
グループA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
グループB
TLS_RSA_WITH_AES_128_GCM_SHA256
該当なし
TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_CAMELLIA_128_CBC_SHA
グループC 該当なし
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHATLS_ECDH_RSA_WITH_AES_128_CBC_SHA
推奨セキュリティ型要求設定(@2015年5月)
セキュリティEXPO2018 12
楕円曲線暗号なし 楕円曲線暗号分
グループD
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 TLS_ECDHE_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
グループE
TLS_RSA_WITH_AES_256_GCM_SHA384
該当なし
TLS_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_CAMELLIA_256_CBC_SHA
グループF 該当なし
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHATLS_ECDH_RSA_WITH_AES_256_CBC_SHA
鍵長鍵交換でDHEを利用する場合には鍵長1024ビット以上、RSAを利用する場合には鍵長2048ビット以上、ECDHE/ECDHを利用する場合には鍵長256ビット以上必須。なお、DHEの鍵長を明示的に設定できない製品を利用する場合には、DHEを含む暗号スイートは選定すべきではない
除外事項 グループA~グループF以外のすべての暗号スイートを利用除外とする
3年の月日が流れました・・・
セキュリティEXPO2018 13
モバイル端末の更新が進む
SSL3.0しか使えない
SHA-1証明書しか検証できない
TLS1.2も使える
SHA-256証明書も検証できる
普及率 - 平成29年版情報通信白書
平均使用年数 - 内閣府消費動向調査
3年の月日が流れました・・・
セキュリティEXPO2018 14
民間認証局での SHA-1 証明書発行終了
SHA-1 SHA-256SHA-256 証明書
2015年7月15日ニュースリリース
年 動向
2011
(1.0.0)
証明書の有効期間は60ヶ月以内
2015/4/1以降に発行される証明書の有効期間は原則39ヶ月以内
2014
(1.2.1)
2016/1/1以降、SHA-1証明書の発行禁止
2017/1/1以降も有効となるSHA-1証明書は2015/1/16以降発行自粛
(=SHA-1証明書の利用期間は2016/12/31まで)
2016(1.3.4)
2016/7/1以降に発行される証明書の有効期間は例外なし39ヶ月以内
2017
(1.4.4)
2018/3/1以降に発行される証明書の有効期間は例外なし825日(=約27ヶ月)以内
2017/4/22以降に再発行される証明書の有効期間は通算で825日(=約27ヶ月)以内
CA/Browser Forumの動向
SHA-1 証明書
3年の月日が流れました・・・
セキュリティEXPO2018 15
プロトコルとしての世代交代の本格化
RFC Title プロトコル
サーバ
証明書
暗号
スイート内容
7465 Prohibiting RC4 Cipher Suites ☓ ☓ 〇 RC4の禁止
7507 TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks ☓ ☓ 〇
新暗号スイートの定義
7525Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)
〇 ☓ ☓SSL2.0, SSL3.0の禁止TLS1.0, TLS1.1の非推奨
7568 Deprecating Secure Sockets Layer Version 3.0 〇 ☓ ☓ SSL3.0の禁止
7905 ChaCha20-Poly1305 Cipher Suites for Transport Layer Security (TLS) ☓ ☓ 〇
ChaCha20-Poly1305の暗号スイート追加
Ed. Queue
The Transport Layer Security (TLS) Protocol Version 1.3 (draft 28) 〇 〇 〇 TLS1.3の定義
NIST Update to Current Use and Deprecation of TDEA reduce the maximum amount of plaintext allowed to be encrypted under a single TDEA 3-key
bundle from 232 to 220 (64-bit) blocks developing a draft deprecation timeline for the 3-key variant of TDEA including a sunset date
CRYPTREC
3-key Triple DESを「電子政府推奨暗号」から「運用監視暗号リスト」へ
3年の月日が流れました・・・
セキュリティEXPO2018 16
楕円曲線暗号の利用環境も整う
アップデートの主なポイント
セキュリティEXPO2018 17
セキュリティ例外型の利用制限を強化
「早期移行を前提とした暫定的な利用継続」⇒「移行完了までの短期の暫定運用」
高セキュリティ型の適用範囲の拡大
「とりわけ高い安全性が必要、非常に高度で限定的な使い方」⇒「高い安全性が必要、高度な使い方」
TLS1.3の情報提供
本格的なプロトコルの世代交代への準備
3段階の(旧)設定基準(@2015年5月)
セキュリティEXPO2018 18
設定基準 概要 安全性 相互接続性
高セキュリティ型
漏えいすると致命的または壊滅的な悪影響を及ぼすと予想される情報を通信するような場合※とりわけ高い安全性を必要とする明確な理由があるケースが対象で、非常に高度で限定的な使い方
標準的な水準を大きく上回る高い安全性水準を達成
最近のOSやブ
ラウザでなければ接続できない可能性が高い
推奨セキュリティ型
漏えいすると何らかの悪影響を及ぼすと予想される情報を、安全性確保と利便性実現をバランスさせて通信するような場合※ほぼすべての一般的な利用形態で使うことを想定
標準的な安全性水準を実現
本ガイドラインで対象とするブラウザであれば問題なく相互接続性を確保
セキュリティ例外型
脆弱なプロトコルバージョンや暗号が使われるリスクを受容したうえで、安全性よりも相互接続性に対する要求をやむなく優先させて通信するような場合※推奨セキュリティ型への早期移行を前提として、暫定的に利用継続するケースを想定
推奨セキュリティ型への移行完了までの短期的な利用を前提に許容可能な最低の安全性水準を満たす
最新ではないフィーチャーフォンやゲーム機などを含めた、ほとんどのすべての機器について相互接続性を確保
3段階の新設定基準(@2018年5月)
セキュリティEXPO2018 19
設定基準 概要 安全性 相互接続性
高セキュリティ型
漏えいすると致命的または壊滅的な悪影響を及ぼすと予想される情報を通信するような場合※高い安全性を必要とする理由があるケースが対象で、高度な使い方
標準的な水準を大きく上回る高い安全性水準を達成
本ガイドラインで対象とするブラウザであれば問題なく相互接続性を確保
推奨セキュリティ型
漏えいすると何らかの悪影響を及ぼすと予想される情報を、安全性確保と利便性実現をバランスさせて通信するような場合※ほぼすべての一般的な利用形態で使うことを想定
標準的な安全性水準を実現
ほとんどのすべての機器について相互接続性を確保
セキュリティ例外型
脆弱なプロトコルバージョンや暗号が使われるリスクを受容したうえで、安全性よりも相互接続性に対する要求をやむなく優先させて通信するような場合であって、推奨セキュリティ型への移行完了までの短期の暫定運用としての設定基準※システム等の制約により、推奨セキュリティ型(以上)の設定が事実上できない場合
最低限度の安全性水準を満たしているとは言えない状況。速やかな推奨セキュリティ型への移行を強く求める
ほとんどのすべての機器について相互接続性を確保
(旧)要求設定項目の整理(@2015年5月)
セキュリティEXPO2018 20
要件 高セキュリティ型 推奨セキュリティ型 セキュリティ例外型
想定対象 G2G 一般 レガシー携帯電話を含む
暗号スイートの
(暗号化の)セキュリティレベル
①256 bit②128 bit
①128 bit②256 bit
① 128 bit② 256 bit
③ RC4, Triple DES暗号アルゴリズ
ム
鍵交換 DHE 2048 bit以上または
ECDHE 256 bit以上
DHE 1024 bit以上またはECDHE 256 bit以上
RSA 2048 bit以上
ECDH 256 bit以上
暗号化 鍵長128ビット及び256ビットの AES または CamelliaRC4
Triple DESモード GCM GCM, CBC
ハッシュ関数 SHA-384, SHA-256 SHA-384, SHA-256, SHA-1プロトコルバージョン TLS1.2のみ TLS1.2 ~ TLS1.0 TLS1.2~1.0, SSL3.0証明書での鍵長 鍵長2048ビット以上のRSA または 鍵長256ビット以上のECDSA
証明書でのハッシュ関数 SHA-256 SHA-256, SHA-1
新要求設定項目の整理(@2018年5月)
セキュリティEXPO2018 21
要件 高セキュリティ型 推奨セキュリティ型 セキュリティ例外型
想定対象 G2G等 一般 特殊事情があるケースに限定
暗号スイートの
(暗号化の)セキュリティレベル
①256 bit②128 bit
①128 bit②256 bit
① 128 bit② 256 bit
③ RC4, Triple DES暗号アルゴリズ
ム
鍵交換 DHE 2048 bit以上または
ECDHE 256 bit以上
DHE 1024 bit以上またはECDHE 256 bit以上
RSA 2048 bit以上
ECDH 256 bit以上
暗号化 鍵長128ビット及び256ビットの AES または CamelliaRC4
Triple DESモード GCM GCM, CBC
ハッシュ関数 SHA-384, SHA-256 SHA-384, SHA-256,SHA-1*
SHA-384, SHA-256, SHA-1
プロトコルバージョン TLS1.2のみ TLS1.2 ~ TLS1.0 TLS1.2~1.0, SSL3.0証明書での鍵長 鍵長2048ビット以上のRSA または 鍵長256ビット以上のECDSA
証明書でのハッシュ関数 SHA-256 SHA-256, SHA-1* 署名生成及び証明書での利用を除く
「TLS1.3」がまもなくお披露目
セキュリティEXPO2018 22
SSL/TLS初の抜本的なプロトコル再設計 TLS 1.2策定以降に見つかった新たな脆弱性や攻撃手法への対策
QUIC等のプロトコルに対応するための性能向上
「TLS1.3」がまもなくお披露目
セキュリティEXPO2018 23
SSL/TLS初の抜本的な暗号スイート再設計利用可能暗号アルゴリズムの集約
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHATLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_CAMELLIA_256_GCM_SHA384
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDHE_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHATLS_ECDH_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDHE_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHATLS_ECDH_RSA_WITH_AES_256_CBC_SHA
「推奨セキュリティ型」での暗号スイート TLS1.3暗号スイートTLS_AES_128_GCM_SHA256TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256
鍵交換
DHEECDHEPSK
署名
RSASSA-PKCS1-v1_5RSASSA-PSSECDSAEdDSA
楕円曲線パラメータ
secp256r1
コラムもアップデート
セキュリティEXPO2018 24
「完全HTTPS化の落とし穴」
Ref. Measuring HTTPS Adoption on the Web - 26th USENIX Security Symposium
なぜ今「完全HTTPS化/常時SSL化」なのか
Ref. 政府機関等の情報セキュリティ対策のための統一基準群の見直しについて(骨子)
HTTP用に作られているWebサーバを単にSSL/TLSを使う設定にすれば
完全HTTPS化が実現しセキュリティが向上する
【課題1】WebサーバのHTTPSのコンテンツの中にHTTPのコンテンツが混在している作りをしている
【課題2】一部がHTTPSになっているWebサーバでのサーバ証明書をそのまま完全HTTPS化での証明書に転用する
【課題3】クラウドサービスなどでWebサーバを開設している
【課題4】似たURLが第三者に使われる
リスクが無視できない/第三者に使われると悪影響が大きい
安全なウェブサイトの構築に向けてご活用ください
セキュリティEXPO2018 25
本ガイドラインのダウンロード情報
https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html
こちらもどうぞ
Recommended