1. アマゾンウェブサービスジャパン株式会社
セキュリティソリューションアーキテクト
桐山 隼人
Amazon CloudFront TLS/SSL セミナー
TLS/SSL化が加速している背景
2016.8.4

2. TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来

3. TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来

4. TLS/SSLの歴史
Web通信暗号化技術の進化
1995年
SSL2.0誕生
1996年
SSL3.0誕生
2006年
TLS1.1誕生
2008年
TLS1.2誕生
2013年
TLS1.3検討開始
1999年
TLS1.0誕生

5. TLS/SSLの進化
SSL2.0 SSL3.0 TLS1.0 TLS1.1 TLS1.2
攻
撃
方
法
に
対
す
る
耐
性
ダウングレード攻撃
(最弱暗号アルゴリズムを強制)
脆弱 安全 安全 安全 安全
バージョンロールバック攻撃
(SSL2.0を強制)
脆弱 安全 安全 安全 安全
CBCモード時の脆弱性攻撃
(BEAST/POODLE攻撃など)
脆弱 脆弱
パッチ
適用要
安全 安全
利
用
可
能
な
暗
号
ア
ル
ゴ
リ
ズ
ム
128ビットブロック暗号(AES, Camellia) 不可 不可 可 可 可
認証付暗号利用モード(GCM, CCM) 不可 不可 不可 不可 可
楕円曲線暗号 不可 不可 可 可 可
SHA-2ハッシュ関数(SHA-256, SHA-384) 不可 不可 不可 不可 可
SSL/TLS暗号設定ガイドライン v1.1, IPA
http://www.ipa.go.jp/files/000045645.pdf

6. 脆弱性の歴史
Web通信暗号化技術の進化
1995年
SSL2.0誕生
1996年
SSL3.0誕生
2006年
TLS1.1誕生
2008年
TLS1.2誕生
2014年9月
POODLE脆弱性
2011年
BEAST脆弱性
2013年
TLS1.3検討開始
2014年4月
Heartbleed脆弱性
2016年3月
DROWN脆弱性
脆弱性との戦い
1999年
TLS1.0誕生
2015年
FREAK脆弱性

7. TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来

8. Google ウェブマスター向け公式ブログ (2015年12月18日)
http://googlewebmastercentral-ja.blogspot.jp/2015/12/indexing-https-pages-by-default.html
HTTPS ページの優先的インデックス

9. PCI DSS v3.2の関連項目
2016年6月30日
まで
PCI DSS Requirements and Security Assessment Procedures Version 3.2 (April 2016)
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf
全てのサービスプロバイダは
(TLS1.2などの)セキュアなサービス
を開始する
2018年6月30日
まで
既存実装は(TLS1.2などの)セ
キュアなサービスに移行する

10. Apple will require HTTPS connections for iOS apps by the end of 2016 (June 14, 2016)
https://techcrunch.com/2016/06/14/apple-will-require-https-connections-for-ios-apps-by-the-end-of-2016/324759/
2016年末までに
App Transport Security(ATS)必須化

11. HTTP Strict Transport Security(HSTS)
をgoogle.com に実装しHTTPS強制
Google's HSTS rollout: Forced HTTPS for google.com aims to help block attacks (August 1, 2016)
http://www.zdnet.com/article/googles-hsts-rollout-forced-https-for-google-com-aims-to-help-block-attacks/
* Gmail, Inbox, Google Play, Hangouts, Docsなど
*

12. TLS 1.2およびHTTP/1.1へのアップグレード(PayPal)
TLS 1.2およびHTTP/1.1へのアップグレード, PayPal
https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1914
PayPalは、外部から当社システムへの接続をすべて
セキュリティ保護するために使用するプロトコルを
アップグレードしています。2017年には、PayPalとの
通信において、TLS 1.2 (Transport Layer Security 1.2)
および HTTP/1.1 (Hypertext Transfer Protocol 1.1)が
必須になります。
ご使用の環境が TLS 1.2 と HTTP/1.1 に対応している
ことを確認し、必要に応じて適切な更新を行う必要が
あります。

13. 業界・ベンダーによる強制力の高まり
脆弱性との戦い
2014年9月
POODLE脆弱性
2011年
BEAST脆弱性
2014年4月
Heartbleed脆弱性
2016年3月
DROWN脆弱性
業界による強制
2015年
FREAK脆弱性
2014年9月
HTTPS優先
インデックス
2016年4月
PCI DSS v3.2公開
2016年7月
ATS必須化
2016年8月
HTTPS強制
2017年6月30日
TLS1.2必須化

14. TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来

15. Survey of the SSL Implementation of the Most Popular Web Sites, SSL Pulse
https://www.trustworthyinternet.org/ssl-pulse/
有名なWebサイト実装の調査

16. HTTP Archive Trends
http://httparchive.org/trends.php#perHttps
HTTPS普及率
Alexaのトップ1,000,000 URLにおける割合

17. Webサイトの常時SSL化
トップページ
サービス
紹介
顧客
事例
セミナー
申込み
トップページ
サービス
紹介
顧客
事例
セミナー
申込み
一部SSL 常時SSL

18. 常時SSL化のメリット
項目 効用 ビジネス効果
SEO対策 Googleの検索順位優遇 マーケティング効果向上
リファラー(参照元)の
取得
サイトのアクセス解析 ユーザー動向分析
サイト開発・管理 コンテンツやリンク、構
成ファイルの管理・保守
開発・運用コスト低下
脆弱なアクセスポイン
トからの傍受
中間者攻撃・なりすまし
盗聴などの阻止
ユーザー被害の防止
HTTP/2プロトコル利用 ウェブページ表示高速化 ユーザーエクスペリエン
ス向上

19. ビジネス価値向上のためのHTTPS
業界による強制 ビジネス効果
2014年9月
HTTPS優先
インデックス
2016年4月
PCI DSS v3.2公開
2016年7月
ATS必須化
2016年8月
HTTPS強制
2017年6月30日
TLS1.2必須化
マーケティング
効果向上
コスト低下
ユーザー提供価値向上

20. そして全通信HTTPSの時代へ
ビジネス効果
全通信
HTTPS
Web通信暗号
化技術の進化
脆弱性
との戦い
業界による
強制

21. 脆弱性との戦い：安全性のため
業界による強制：信頼性のため
ビジネス効果：ビジネス価値向上のため
まとめ：TLS/SSL化が加速している背景
過去
現在
未来