SSL/TLS暗号設定ガイドライン～ 安全なウェブサイトのために（暗号設定対策編）

IPA 技術本部 セキュリティセンター

暗号グループ

神田 雅透

1セキュリティEXPO2018

安全なウェブサイト構築に向けた普及啓発資料集

セキュリティEXPO2018 2

https://www.ipa.go.jp/security/vuln/index.html#section20

「SSL/TLS暗号設定ガイドライン」とは

セキュリティEXPO2018 3

有識者の知見を集約したSSL/TLSを安全に使うためのBest Practice• SSL/TLSの安全性と可用性(相互接続性)のバランスを踏まえた推奨暗号設定方法をガイダンス

• 3段階の推奨設定基準を用意

• 設定確認するための「チェックリスト」

主な想定読者

• 具体的な構築・設定を行うサーバ構築者

• サービス提供に責任を持つサーバ管理者

• サーバ構築を発注するシステム担当者

2015年公開以来、14万件以上のダウンロード実績

「CRYPTREC」とは

セキュリティEXPO2018 4

総務省・経済産業省・NICT・IPAが実施している暗号技

術評価プロジェクト。暗号技術の専門家により安全性と実装性に優れると判断された「CRYPTREC暗号リスト」を作成・公表

暗号技術検討会事務局：総務省、経済産業省

暗号技術調査WG

暗号技術評価委員会事務局：NICT, IPA

暗号技術活用委員会事務局：IPA, NICT

「暗号技術の安全性評価を中心とした技術的な検討課題」を担当

「セキュリティ対策の推進、暗号技術の利用促進に向けた運用ガイドラインの整備」を

担当

政府機関の情報セキュリティ対策のための統一基準（NISC）からも参照

SSL/TLSの動作原理

セキュリティEXPO2018 5

ブラウザ サイトA

{利用可能な暗号スイート一覧,利用可能なプロトコルバージョン}

{利用する暗号スイート・プロトコルバージョンの情報、

サイトAのサーバ証明書}

① アクセス先の確認

サーバ証明書の検証

サーバ証明書が正しいから

サイトAで間違いない

暗号スイート・プロトコルバージョンの決定

さて、どれを選ぼうかな？

② 暗号通信用セッション鍵の交換

暗号通信用セッション鍵を作ってサイトAと秘密裏に交換しよう

サーバ証明書

サイトA間との暗号通信路

③ 暗号通信

SSL/TLSを安全に使ううえでのキーワード

セキュリティEXPO2018 6

【 暗号スイート 】多数の「共通鍵暗号・公開鍵暗号・署名・ハッシュ関数」の組合せ

【 サーバ証明書 】認証局(CA)や公開鍵暗号基盤(PKI)を基にアクセス先が信用できるか判断

【 プロトコルバージョン 】バージョンアップを5回繰り返して約25年間利用してきたプロトコル

安全性と相互接続性のバランスを

どう取ればいいの？

SSL/TLSサーバ構築で何に注意しないといけないの？

どうやれば最近の攻撃を回避できるの？

SSL/TLS暗号設定ガイドラインの基本方針

セキュリティEXPO2018 7

安全なSSL/TLSサーバ構築に必要な暗号設定を示す

安全性と相互接続性のバランスをどう取るか

高セキュリティ型 推奨セキュリティ型 セキュリティ例外型

プロトコルバージョン・・・不必要なバージョンを利用させない設定

バランスに応じた推奨設定とは何か

サーバ証明書 ・・・ サーバ証明書を不正利用させない設定

暗号スイート ・・・ 弱い暗号を利用させない設定

チェックリスト ・・・ 必要な推奨設定項目の設定忘れの防止策

必要な推奨設定項目の設定確認をどうやるか

3段階の(旧)設定基準（＠2015年5月）

セキュリティEXPO2018 8

設定基準 概要 安全性 相互接続性

高セキュリティ型

漏えいすると致命的または壊滅的な悪影響を及ぼすと予想される情報を通信するような場合※とりわけ高い安全性を必要とする明確な理由があるケースが対象で、非常に高度で限定的な使い方

標準的な水準を大きく上回る高い安全性水準を達成

最近のOSやブ

ラウザでなければ接続できない可能性が高い

推奨セキュリティ型

漏えいすると何らかの悪影響を及ぼすと予想される情報を、安全性確保と利便性実現をバランスさせて通信するような場合※ほぼすべての一般的な利用形態で使うことを想定

標準的な安全性水準を実現

本ガイドラインで対象とするブラウザであれば問題なく相互接続性を確保

セキュリティ例外型

脆弱なプロトコルバージョンや暗号が使われるリスクを受容したうえで、安全性よりも相互接続性に対する要求をやむなく優先させて通信するような場合※推奨セキュリティ型への早期移行を前提として、暫定的に利用継続するケースを想定

推奨セキュリティ型への移行完了までの短期的な利用を前提に許容可能な最低の安全性水準を満たす

最新ではないフィーチャーフォンやゲーム機などを含めた、ほとんどのすべての機器について相互接続性を確保

(旧)要求設定項目の整理（＠2015年5月）

セキュリティEXPO2018 9

要件 高セキュリティ型 推奨セキュリティ型 セキュリティ例外型

想定対象 G2G 一般 レガシー携帯電話を含む

暗号スイートの

（暗号化の）セキュリティレベル

①256 bit②128 bit

①128 bit②256 bit

① 128 bit② 256 bit

③ RC4, Triple DES暗号アルゴリズ

ム

鍵交換 DHE 2048 bit以上または

ECDHE 256 bit以上

DHE 1024 bit以上またはECDHE 256 bit以上

RSA 2048 bit以上

ECDH 256 bit以上

暗号化 鍵長128ビット及び256ビットの AES または CamelliaRC4

Triple DESモード GCM GCM, CBC

ハッシュ関数 SHA-384, SHA-256 SHA-384, SHA-256, SHA-1プロトコルバージョン TLS1.2のみ TLS1.2 ～ TLS1.0 TLS1.2～1.0, SSL3.0証明書での鍵長 鍵長2048ビット以上のRSA または 鍵長256ビット以上のECDSA

証明書でのハッシュ関数 SHA-256 SHA-256, SHA-1

推奨セキュリティ型要求設定（＠2015年5月）

セキュリティEXPO2018 10

プロトコルバージョン

サーバ証明書

TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0◎ ○ ○ × ×

－ ◎ ○ × ×

－ － ◎ × ×○：設定有効（◎：優先するのが望ましい） ×：設定無効化 －：実装なし

暗号アルゴリズムと鍵長

サーバ証明書の鍵情報（Subject Public Key Info）のアルゴリズム（Subject Public Key Algorithm）と鍵長は以下のいずれかを必須

RSAで鍵長は2048ビット以上

楕円曲線暗号で鍵長256ビット以上

CAの署名アルゴリズム（Certificate Signature Algorithm）と鍵長は以下のいずれかを必須

RSA署名とSHA-256の組合せで鍵長2048ビット以上

ECDSAとSHA-256の組合せで鍵長256ビット以上

推奨セキュリティ型要求設定（＠2015年5月）

セキュリティEXPO2018 11

暗号スイートの設定楕円曲線暗号なし 楕円曲線暗号分

グループA

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

グループB

TLS_RSA_WITH_AES_128_GCM_SHA256

該当なし

TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_CAMELLIA_128_CBC_SHA

グループC 該当なし

TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHATLS_ECDH_RSA_WITH_AES_128_CBC_SHA

推奨セキュリティ型要求設定（＠2015年5月）

セキュリティEXPO2018 12

楕円曲線暗号なし 楕円曲線暗号分

グループD

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 TLS_ECDHE_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

グループE

TLS_RSA_WITH_AES_256_GCM_SHA384

該当なし

TLS_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_CAMELLIA_256_CBC_SHA

グループF 該当なし

TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHATLS_ECDH_RSA_WITH_AES_256_CBC_SHA

鍵長鍵交換でDHEを利用する場合には鍵長1024ビット以上、RSAを利用する場合には鍵長2048ビット以上、ECDHE/ECDHを利用する場合には鍵長256ビット以上必須。なお、DHEの鍵長を明示的に設定できない製品を利用する場合には、DHEを含む暗号スイートは選定すべきではない

除外事項 グループA～グループF以外のすべての暗号スイートを利用除外とする

3年の月日が流れました・・・

セキュリティEXPO2018 13

モバイル端末の更新が進む

SSL3.0しか使えない

SHA-1証明書しか検証できない

TLS1.2も使える

SHA-256証明書も検証できる

普及率 － 平成29年版情報通信白書

平均使用年数 － 内閣府消費動向調査

3年の月日が流れました・・・

セキュリティEXPO2018 14

民間認証局での SHA-1 証明書発行終了

SHA-1 SHA-256SHA-256 証明書

2015年7月15日ニュースリリース

年 動向

2011

(1.0.0)

証明書の有効期間は60ヶ月以内

2015/4/1以降に発行される証明書の有効期間は原則39ヶ月以内

2014

(1.2.1)

2016/1/1以降、SHA-1証明書の発行禁止

2017/1/1以降も有効となるSHA-1証明書は2015/1/16以降発行自粛

（＝SHA-1証明書の利用期間は2016/12/31まで）

2016(1.3.4)

2016/7/1以降に発行される証明書の有効期間は例外なし39ヶ月以内

2017

(1.4.4)

2018/3/1以降に発行される証明書の有効期間は例外なし825日（＝約27ヶ月）以内

2017/4/22以降に再発行される証明書の有効期間は通算で825日（＝約27ヶ月）以内

CA/Browser Forumの動向

SHA-1 証明書

3年の月日が流れました・・・

セキュリティEXPO2018 15

プロトコルとしての世代交代の本格化

RFC Title プロトコル

サーバ

証明書

暗号

スイート内容

7465 Prohibiting RC4 Cipher Suites ☓ ☓ 〇 RC4の禁止

7507 TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks ☓ ☓ 〇

新暗号スイートの定義

7525Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS)

〇 ☓ ☓SSL2.0, SSL3.0の禁止TLS1.0, TLS1.1の非推奨

7568 Deprecating Secure Sockets Layer Version 3.0 〇 ☓ ☓ SSL3.0の禁止

7905 ChaCha20-Poly1305 Cipher Suites for Transport Layer Security (TLS) ☓ ☓ 〇

ChaCha20-Poly1305の暗号スイート追加

Ed. Queue

The Transport Layer Security (TLS) Protocol Version 1.3 (draft 28) 〇 〇 〇 TLS1.3の定義

NIST Update to Current Use and Deprecation of TDEA reduce the maximum amount of plaintext allowed to be encrypted under a single TDEA 3-key

bundle from 232 to 220 (64-bit) blocks developing a draft deprecation timeline for the 3-key variant of TDEA including a sunset date

CRYPTREC

3-key Triple DESを「電子政府推奨暗号」から「運用監視暗号リスト」へ

3年の月日が流れました・・・

セキュリティEXPO2018 16

楕円曲線暗号の利用環境も整う

アップデートの主なポイント

セキュリティEXPO2018 17

セキュリティ例外型の利用制限を強化

「早期移行を前提とした暫定的な利用継続」⇒「移行完了までの短期の暫定運用」

高セキュリティ型の適用範囲の拡大

「とりわけ高い安全性が必要、非常に高度で限定的な使い方」⇒「高い安全性が必要、高度な使い方」

TLS1.3の情報提供

本格的なプロトコルの世代交代への準備

3段階の(旧)設定基準（＠2015年5月）

セキュリティEXPO2018 18

設定基準 概要 安全性 相互接続性

高セキュリティ型

漏えいすると致命的または壊滅的な悪影響を及ぼすと予想される情報を通信するような場合※とりわけ高い安全性を必要とする明確な理由があるケースが対象で、非常に高度で限定的な使い方

標準的な水準を大きく上回る高い安全性水準を達成

最近のOSやブ

ラウザでなければ接続できない可能性が高い

推奨セキュリティ型

漏えいすると何らかの悪影響を及ぼすと予想される情報を、安全性確保と利便性実現をバランスさせて通信するような場合※ほぼすべての一般的な利用形態で使うことを想定

標準的な安全性水準を実現

本ガイドラインで対象とするブラウザであれば問題なく相互接続性を確保

セキュリティ例外型

脆弱なプロトコルバージョンや暗号が使われるリスクを受容したうえで、安全性よりも相互接続性に対する要求をやむなく優先させて通信するような場合※推奨セキュリティ型への早期移行を前提として、暫定的に利用継続するケースを想定

推奨セキュリティ型への移行完了までの短期的な利用を前提に許容可能な最低の安全性水準を満たす

最新ではないフィーチャーフォンやゲーム機などを含めた、ほとんどのすべての機器について相互接続性を確保

3段階の新設定基準（＠2018年5月）

セキュリティEXPO2018 19

設定基準 概要 安全性 相互接続性

高セキュリティ型

漏えいすると致命的または壊滅的な悪影響を及ぼすと予想される情報を通信するような場合※高い安全性を必要とする理由があるケースが対象で、高度な使い方

標準的な水準を大きく上回る高い安全性水準を達成

本ガイドラインで対象とするブラウザであれば問題なく相互接続性を確保

推奨セキュリティ型

漏えいすると何らかの悪影響を及ぼすと予想される情報を、安全性確保と利便性実現をバランスさせて通信するような場合※ほぼすべての一般的な利用形態で使うことを想定

標準的な安全性水準を実現

ほとんどのすべての機器について相互接続性を確保

セキュリティ例外型

脆弱なプロトコルバージョンや暗号が使われるリスクを受容したうえで、安全性よりも相互接続性に対する要求をやむなく優先させて通信するような場合であって、推奨セキュリティ型への移行完了までの短期の暫定運用としての設定基準※システム等の制約により、推奨セキュリティ型（以上）の設定が事実上できない場合

最低限度の安全性水準を満たしているとは言えない状況。速やかな推奨セキュリティ型への移行を強く求める

ほとんどのすべての機器について相互接続性を確保

(旧)要求設定項目の整理（＠2015年5月）

セキュリティEXPO2018 20

要件 高セキュリティ型 推奨セキュリティ型 セキュリティ例外型

想定対象 G2G 一般 レガシー携帯電話を含む

暗号スイートの

（暗号化の）セキュリティレベル

①256 bit②128 bit

①128 bit②256 bit

① 128 bit② 256 bit

③ RC4, Triple DES暗号アルゴリズ

ム

鍵交換 DHE 2048 bit以上または

ECDHE 256 bit以上

DHE 1024 bit以上またはECDHE 256 bit以上

RSA 2048 bit以上

ECDH 256 bit以上

暗号化 鍵長128ビット及び256ビットの AES または CamelliaRC4

Triple DESモード GCM GCM, CBC

ハッシュ関数 SHA-384, SHA-256 SHA-384, SHA-256, SHA-1プロトコルバージョン TLS1.2のみ TLS1.2 ～ TLS1.0 TLS1.2～1.0, SSL3.0証明書での鍵長 鍵長2048ビット以上のRSA または 鍵長256ビット以上のECDSA

証明書でのハッシュ関数 SHA-256 SHA-256, SHA-1

新要求設定項目の整理（＠2018年5月）

セキュリティEXPO2018 21

要件 高セキュリティ型 推奨セキュリティ型 セキュリティ例外型

想定対象 G2G等 一般 特殊事情があるケースに限定

暗号スイートの

（暗号化の）セキュリティレベル

①256 bit②128 bit

①128 bit②256 bit

① 128 bit② 256 bit

③ RC4, Triple DES暗号アルゴリズ

ム

鍵交換 DHE 2048 bit以上または

ECDHE 256 bit以上

DHE 1024 bit以上またはECDHE 256 bit以上

RSA 2048 bit以上

ECDH 256 bit以上

暗号化 鍵長128ビット及び256ビットの AES または CamelliaRC4

Triple DESモード GCM GCM, CBC

ハッシュ関数 SHA-384, SHA-256 SHA-384, SHA-256,SHA-1*

SHA-384, SHA-256, SHA-1

プロトコルバージョン TLS1.2のみ TLS1.2 ～ TLS1.0 TLS1.2～1.0, SSL3.0証明書での鍵長 鍵長2048ビット以上のRSA または 鍵長256ビット以上のECDSA

証明書でのハッシュ関数 SHA-256 SHA-256, SHA-1* 署名生成及び証明書での利用を除く

「TLS1.3」がまもなくお披露目

セキュリティEXPO2018 22

SSL/TLS初の抜本的なプロトコル再設計 TLS 1.2策定以降に見つかった新たな脆弱性や攻撃手法への対策

QUIC等のプロトコルに対応するための性能向上

「TLS1.3」がまもなくお披露目

セキュリティEXPO2018 23

SSL/TLS初の抜本的な暗号スイート再設計利用可能暗号アルゴリズムの集約

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHA256TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHATLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_CAMELLIA_128_GCM_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_CAMELLIA_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_CAMELLIA_256_GCM_SHA384

TLS_RSA_WITH_AES_256_CBC_SHA256

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDHE_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_GCM_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHATLS_ECDH_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDHE_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHATLS_ECDH_RSA_WITH_AES_256_CBC_SHA

「推奨セキュリティ型」での暗号スイート TLS1.3暗号スイートTLS_AES_128_GCM_SHA256TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256

鍵交換

DHEECDHEPSK

署名

RSASSA-PKCS1-v1_5RSASSA-PSSECDSAEdDSA

楕円曲線パラメータ

secp256r1

コラムもアップデート

セキュリティEXPO2018 24

「完全HTTPS化の落とし穴」

Ref. Measuring HTTPS Adoption on the Web - 26th USENIX Security Symposium

なぜ今「完全HTTPS化／常時SSL化」なのか

Ref. 政府機関等の情報セキュリティ対策のための統一基準群の見直しについて（骨子）

HTTP用に作られているWebサーバを単にSSL/TLSを使う設定にすれば

完全HTTPS化が実現しセキュリティが向上する

【課題１】WebサーバのHTTPSのコンテンツの中にHTTPのコンテンツが混在している作りをしている

【課題２】一部がHTTPSになっているWebサーバでのサーバ証明書をそのまま完全HTTPS化での証明書に転用する

【課題３】クラウドサービスなどでWebサーバを開設している

【課題４】似たURLが第三者に使われる

リスクが無視できない／第三者に使われると悪影響が大きい

安全なウェブサイトの構築に向けてご活用ください

セキュリティEXPO2018 25

本ガイドラインのダウンロード情報

https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html

こちらもどうぞ