Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Amazon CloudFront TLS/SSL Seminar 20160804

3,126 views

Published on

2016/8/4に開催されたAmazon CloudFront TLS/SSLセミナーの資料です。Web暗号化通信(HTTPS)に使用されるプロトコルTLS/SSLが導入される理由を過去・現在・未来の時間軸で説明しています。

Published in: Internet

Amazon CloudFront TLS/SSL Seminar 20160804

  1. 1. アマゾンウェブサービスジャパン株式会社 セキュリティソリューションアーキテクト 桐山 隼人 Amazon CloudFront TLS/SSL セミナー TLS/SSL化が加速している背景 2016.8.4
  2. 2. TLS/SSLの歴史と変遷 最近のWeb通信暗号化状況 これからのWebサービス セッションの内容 過去 現在 未来
  3. 3. TLS/SSLの歴史と変遷 最近のWeb通信暗号化状況 これからのWebサービス セッションの内容 過去 現在 未来
  4. 4. TLS/SSLの歴史 Web通信暗号化技術の進化 1995年 SSL2.0誕生 1996年 SSL3.0誕生 2006年 TLS1.1誕生 2008年 TLS1.2誕生 2013年 TLS1.3検討開始 1999年 TLS1.0誕生
  5. 5. TLS/SSLの進化 SSL2.0 SSL3.0 TLS1.0 TLS1.1 TLS1.2 攻 撃 方 法 に 対 す る 耐 性 ダウングレード攻撃 (最弱暗号アルゴリズムを強制) 脆弱 安全 安全 安全 安全 バージョンロールバック攻撃 (SSL2.0を強制) 脆弱 安全 安全 安全 安全 CBCモード時の脆弱性攻撃 (BEAST/POODLE攻撃など) 脆弱 脆弱 パッチ 適用要 安全 安全 利 用 可 能 な 暗 号 ア ル ゴ リ ズ ム 128ビットブロック暗号(AES, Camellia) 不可 不可 可 可 可 認証付暗号利用モード(GCM, CCM) 不可 不可 不可 不可 可 楕円曲線暗号 不可 不可 可 可 可 SHA-2ハッシュ関数(SHA-256, SHA-384) 不可 不可 不可 不可 可 SSL/TLS暗号設定ガイドライン v1.1, IPA http://www.ipa.go.jp/files/000045645.pdf
  6. 6. 脆弱性の歴史 Web通信暗号化技術の進化 1995年 SSL2.0誕生 1996年 SSL3.0誕生 2006年 TLS1.1誕生 2008年 TLS1.2誕生 2014年9月 POODLE脆弱性 2011年 BEAST脆弱性 2013年 TLS1.3検討開始 2014年4月 Heartbleed脆弱性 2016年3月 DROWN脆弱性 脆弱性との戦い 1999年 TLS1.0誕生 2015年 FREAK脆弱性
  7. 7. TLS/SSLの歴史と変遷 最近のWeb通信暗号化状況 これからのWebサービス セッションの内容 過去 現在 未来
  8. 8. Google ウェブマスター向け公式ブログ (2015年12月18日) http://googlewebmastercentral-ja.blogspot.jp/2015/12/indexing-https-pages-by-default.html HTTPS ページの優先的インデックス
  9. 9. PCI DSS v3.2の関連項目 2016年6月30日 まで PCI DSS Requirements and Security Assessment Procedures Version 3.2 (April 2016) https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf 全てのサービスプロバイダは (TLS1.2などの)セキュアなサービス を開始する 2018年6月30日 まで 既存実装は(TLS1.2などの)セ キュアなサービスに移行する
  10. 10. Apple will require HTTPS connections for iOS apps by the end of 2016 (June 14, 2016) https://techcrunch.com/2016/06/14/apple-will-require-https-connections-for-ios-apps-by-the-end-of-2016/324759/ 2016年末までに App Transport Security(ATS)必須化
  11. 11. HTTP Strict Transport Security(HSTS) をgoogle.com に実装しHTTPS強制 Google's HSTS rollout: Forced HTTPS for google.com aims to help block attacks (August 1, 2016) http://www.zdnet.com/article/googles-hsts-rollout-forced-https-for-google-com-aims-to-help-block-attacks/ * Gmail, Inbox, Google Play, Hangouts, Docsなど *
  12. 12. TLS 1.2およびHTTP/1.1へのアップグレード(PayPal) TLS 1.2およびHTTP/1.1へのアップグレード, PayPal https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1914 PayPalは、外部から当社システムへの接続をすべて セキュリティ保護するために使用するプロトコルを アップグレードしています。2017年には、PayPalとの 通信において、TLS 1.2 (Transport Layer Security 1.2) および HTTP/1.1 (Hypertext Transfer Protocol 1.1)が 必須になります。 ご使用の環境が TLS 1.2 と HTTP/1.1 に対応している ことを確認し、必要に応じて適切な更新を行う必要が あります。
  13. 13. 業界・ベンダーによる強制力の高まり 脆弱性との戦い 2014年9月 POODLE脆弱性 2011年 BEAST脆弱性 2014年4月 Heartbleed脆弱性 2016年3月 DROWN脆弱性 業界による強制 2015年 FREAK脆弱性 2014年9月 HTTPS優先 インデックス 2016年4月 PCI DSS v3.2公開 2016年7月 ATS必須化 2016年8月 HTTPS強制 2017年6月30日 TLS1.2必須化
  14. 14. TLS/SSLの歴史と変遷 最近のWeb通信暗号化状況 これからのWebサービス セッションの内容 過去 現在 未来
  15. 15. Survey of the SSL Implementation of the Most Popular Web Sites, SSL Pulse https://www.trustworthyinternet.org/ssl-pulse/ 有名なWebサイト実装の調査
  16. 16. HTTP Archive Trends http://httparchive.org/trends.php#perHttps HTTPS普及率 Alexaのトップ1,000,000 URLにおける割合
  17. 17. Webサイトの常時SSL化 トップページ サービス 紹介 顧客 事例 セミナー 申込み トップページ サービス 紹介 顧客 事例 セミナー 申込み 一部SSL 常時SSL
  18. 18. 常時SSL化のメリット 項目 効用 ビジネス効果 SEO対策 Googleの検索順位優遇 マーケティング効果向上 リファラー(参照元)の 取得 サイトのアクセス解析 ユーザー動向分析 サイト開発・管理 コンテンツやリンク、構 成ファイルの管理・保守 開発・運用コスト低下 脆弱なアクセスポイン トからの傍受 中間者攻撃・なりすまし 盗聴などの阻止 ユーザー被害の防止 HTTP/2プロトコル利用 ウェブページ表示高速化 ユーザーエクスペリエン ス向上
  19. 19. ビジネス価値向上のためのHTTPS 業界による強制 ビジネス効果 2014年9月 HTTPS優先 インデックス 2016年4月 PCI DSS v3.2公開 2016年7月 ATS必須化 2016年8月 HTTPS強制 2017年6月30日 TLS1.2必須化 マーケティング 効果向上 コスト低下 ユーザー提供価値向上
  20. 20. そして全通信HTTPSの時代へ ビジネス効果 全通信 HTTPS Web通信暗号 化技術の進化 脆弱性 との戦い 業界による 強制
  21. 21. 脆弱性との戦い:安全性のため 業界による強制:信頼性のため ビジネス効果:ビジネス価値向上のため まとめ:TLS/SSL化が加速している背景 過去 現在 未来

×