レンタルサーバのセキュリティとSSL
~ユーザに説明できる正しい知識(ちょっと濃い目)~

2014年3月6日
ファーストサーバ株式会社
予定
• ファーストサーバのご紹介
• SSLについて
–
–
–
–
–

当社のサービスとSSL
情報セキュリティとSSLの基本
認証水準について
認証手続き
Webサーバの設定について

Copyright© 2014 Firstserv...
ファーストサーバのご紹介

Copyright© 2014 Firstserver, Inc. All rights reserved.

2
ファーストサーバについて
ファーストサーバ株式会社
大阪市中央区安土町1丁目8番15号
野村不動産大阪ビ
ル 3F
さくらインターネット様とは
堺筋本町駅を挟んでご近所です。

Copyright© 2014 Firstserver, Inc....
ファーストサーバについて
1996年
「クボタシステム開発株式会社」にて
レンタルサーバー事業を開
始
1999年9月
レンタルサーバーサービス
「ファーストサーバ」を開始
2000年6月
「ファーストサーバ株式会社」として
独立、営業活動を開...
2012年6月

Copyright© 2014 Firstserver, Inc. All rights reserved.

大規模事故

5
ここまで来ました
日経コンピュータ2014年2月20日号

http://itpro.nikkeibp.co.jp/article/Watcher/20140214/536882/
Copyright© 2014 Firstserver, In...
宜しくお願いいたします。

Copyright© 2014 Firstserver, Inc. All rights reserved.

7
SSLについて

Copyright© 2014 Firstserver, Inc. All rights reserved.

8
ファーストサーバとSSL
2004年~2010年まで
RSA セキュリティのルート証明書を利用し
独自に認証局を運営しBIZCERTという証明書を
提供しておりました。

※2010年からはサイバートラスト社と提携し
SureServerをOE...
自己紹介
■小島健司

企画、営業、サポートなど何でも屋
「Web改ざん検知サービス」をレンタルサーバ業界で
初リリース。
Twitter: @nu_nrgist

個人的にクリエイターさんなどが集まる交流会
「関西メディコミ会」を主催してます...
自己紹介
■西口 昌宏

プログラマ、社内LANの運用管理を経て、ファー
ストサーバでは技術サポート、DNS、デジタル証
明書業務に従事。
DNSやSSLが専門分野。
情報セキュリティスペシャリストだったりします
。
Twitter: @mah...
当社のサービスとSSL

Copyright© 2014 Firstserver, Inc. All rights reserved.

12
当社が提供するサービス
タイプ

サービス名称

サーバー
管理

コンテン
ツ
管理

SSL関連サービス

マネージド
共有サーバー

ビズ2

当社

お客様

サーバー証明書取得代行
サーバセキュア化サービス

マネージド
専用サーバー...
当社のSSLサービス
認証局
種別

サービス

発行

Public

シマンテックEVサーバー証明書

VeriSign

シマンテックサーバー証明書
サイバートラストEVサーバー証明書

拡張認証
EV

発行対象

対象サービス

企業...
情報セキュリティとSSLの基本

Copyright© 2014 Firstserver, Inc. All rights reserved.

15
情報セキュリティの3要素・6要素

機密性
責任追跡性

Confidentiality

Accountability

信頼性
Reliability

C.I.A
完全性

可用性

Integrity

Availability
真正性...
SSLの機能
漏洩防止

機密性
Confidentiality

改竄防止

完全性
成りすまし防止

Integrity
真正性
Authenticity
Copyright© 2014 Firstserver, Inc. All righ...
信頼できる第三者機関
彼は消防署員
です

消防署の方
から来まし
た

本当なのね
本当かしら

TTP: Trusted Third Party

Copyright© 2014 Firstserver, Inc. All rights r...
印鑑証明書とデジタル証明書
印章

印影

鯖

印鑑証明書

市役所

鯖
名前 ~
住所 ~
Bergmann

私有鍵

公開鍵

Copyright© 2014 Firstserver, Inc. All rights reserved...
印鑑証明書の発行
(2)

印鑑登録

鯖

名前 ~
住所 ~

Bergmann

(1)
印鑑証明書

鯖
名前 ~
住所 ~

Copyright© 2014 Firstserver, Inc. All rights reserved....
印鑑証明書の利用

Bergmann

契約書

鯖
印鑑証明書

鯖
(3)

名前 ~
住所 ~

(4)
Copyright© 2014 Firstserver, Inc. All rights reserved.

21
デジタル証明書の発行
(2)

証明書署名要求
名前 ~
住所 ~

(1)

Copyright© 2014 Firstserver, Inc. All rights reserved.

22
デジタル証明書の利用
信頼できる認証局 (信頼点)

デジタルデータ

デジタル署
名

(3)
(4)
Copyright© 2014 Firstserver, Inc. All rights reserved.

23
認証水準について

Copyright© 2014 Firstserver, Inc. All rights reserved.

24
数々の「証明書」
正式・厳格

旅券
運転免許証
住民基本台帳カード
社員証
会員証

GPKI/LGPKI
パブリック認証局
EV
OV
DV (独自ドメイン名)
DV (共有SSL)

プライベート認証局
略式・カジュアル

Copyrig...
認証水準
認証水準

認証基準

実在性確認

緑色のバー

拡張認証
(EV)

国際標準

○

○

組織認証
(OV)

各認証局(※)

○

×

ドメイン認証
各認証局(※)
(DV)

×

×

※パブリック認証局に必要な基本...
本当の相手は?
拡張認証 (EV)

会社や店

EXAMPLE.JP

組織認証 (OV)

ドメイン

ドメイン認証 (DV)

お客様

共有SSL

サーバ

プライベート

Robert.Harker

中の人
Copyright© ...
認証水準と各社証明書
拡張認証 EV

組織認証 OV
認証水準

高

CyberTrust

セキュア・サーバID EV

グローバル・サーバID

SureServer EV

低

セキュア・サーバID

グローバル・サーバID
EV
...
改めて「オレオレ証明書」
第一種

• 不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もイ
ンストールさせるつもりのないもの。

第二種

• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をイ
ンス...
証明書の中身を見てみよう
Subject

組織認証 (OV) の一例

CN = www.fsv.jp
O = Firstserver, Inc.
L = Osaka-shi
S = Osaka
C = JP

Copyright© 2014...
証明書の中身を見てみよう
Subject

ドメイン認証 (DV) の一例

CN = *.tongbi.jp

O(Organization)が無い

Copyright© 2014 Firstserver, Inc. All rights ...
認証手続き

Copyright© 2014 Firstserver, Inc. All rights reserved.

32
ドメイン認証
• ドメインの管理や使用の権限を持つ者に確認
– WHOISの各担当者メールアドレス
• 登録者
Registrant
• 管理担当者 Administrative Contact
• 技術担当者 Technical Contac...
組織認証
• ドメイン名の利用権限
– WHOIS
– ドメイン認証

• 実在性
– 登記簿
– 第三者機関データベース
– 第三者機関の訪問または意見書など

• 商号/屋号
– 政府機関が提供する文書
– 政府機関とのメール記録
– 公共...
WEBサーバの設定について

Copyright© 2014 Firstserver, Inc. All rights reserved.

35
私有鍵の安全
• 漏洩しないこと
– パーミッション
• chmod 500 私有鍵ディレクトリ
• chmod 400 私有鍵ファイル

– パスフレーズを設定
• SSLPassPhraseDialog exec:/path/to/prog...
暗号強度

サーバ/ブラウザ間の
ネゴシエーション

Robert.Harker

Copyright© 2014 Firstserver, Inc. All rights reserved.

37
Webサーバ設定
• TLS/SSLバージョン
– apache: SSLProtocol
– nginx: ssl_protocols

• 暗号スイート
– apache: SSLCipherSuite
– nginx: ssl_ciphe...
SSLの無いネットなんて

(C)ゲーム日記帳

Copyright© 2014 Firstserver, Inc. All rights reserved.

39
結論

デジタル証明書は
用途に合わせて使い分けましょう

Copyright© 2014 Firstserver, Inc. All rights reserved.

40
最も弱い環の原則
A chain is no stronger than its weakest link
(鎖はいちばん弱い輪以上に強くなれない)

Copyright© 2014 Firstserver, Inc. All rights r...
Tongbi
さくらインターネットのユーザ様にも使っていただきたい
無料のWEBサイトモニタリングサービスです。

http://tongbi.jp/
Respons Code
Respons Time
SSL Cert
か

http sta...
ご清聴ありがとうございました

Copyright© 2014 Firstserver, Inc. All rights reserved.

43
44
Upcoming SlideShare
Loading in …5
×

さくらの夕べ 大阪 20140306 ファーストサーバセッション資料

2,506 views

Published on

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,506
On SlideShare
0
From Embeds
0
Number of Embeds
122
Actions
Shares
0
Downloads
14
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

さくらの夕べ 大阪 20140306 ファーストサーバセッション資料

  1. 1. レンタルサーバのセキュリティとSSL ~ユーザに説明できる正しい知識(ちょっと濃い目)~ 2014年3月6日 ファーストサーバ株式会社
  2. 2. 予定 • ファーストサーバのご紹介 • SSLについて – – – – – 当社のサービスとSSL 情報セキュリティとSSLの基本 認証水準について 認証手続き Webサーバの設定について Copyright© 2014 Firstserver, Inc. All rights reserved. 1
  3. 3. ファーストサーバのご紹介 Copyright© 2014 Firstserver, Inc. All rights reserved. 2
  4. 4. ファーストサーバについて ファーストサーバ株式会社 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビ ル 3F さくらインターネット様とは 堺筋本町駅を挟んでご近所です。 Copyright© 2014 Firstserver, Inc. All rights reserved. 3
  5. 5. ファーストサーバについて 1996年 「クボタシステム開発株式会社」にて レンタルサーバー事業を開 始 1999年9月 レンタルサーバーサービス 「ファーストサーバ」を開始 2000年6月 「ファーストサーバ株式会社」として 独立、営業活動を開始 2004年11月 ヤフー株式会社の子会社となる Copyright© 2014 Firstserver, Inc. All rights reserved. 4
  6. 6. 2012年6月 Copyright© 2014 Firstserver, Inc. All rights reserved. 大規模事故 5
  7. 7. ここまで来ました 日経コンピュータ2014年2月20日号 http://itpro.nikkeibp.co.jp/article/Watcher/20140214/536882/ Copyright© 2014 Firstserver, Inc. All rights reserved. 6
  8. 8. 宜しくお願いいたします。 Copyright© 2014 Firstserver, Inc. All rights reserved. 7
  9. 9. SSLについて Copyright© 2014 Firstserver, Inc. All rights reserved. 8
  10. 10. ファーストサーバとSSL 2004年~2010年まで RSA セキュリティのルート証明書を利用し 独自に認証局を運営しBIZCERTという証明書を 提供しておりました。 ※2010年からはサイバートラスト社と提携し SureServerをOEM提供 Copyright© 2014 Firstserver, Inc. All rights reserved. 9
  11. 11. 自己紹介 ■小島健司 企画、営業、サポートなど何でも屋 「Web改ざん検知サービス」をレンタルサーバ業界で 初リリース。 Twitter: @nu_nrgist 個人的にクリエイターさんなどが集まる交流会 「関西メディコミ会」を主催してます。 http://medicomi.com/ Copyright© 2014 Firstserver, Inc. All rights reserved. 10
  12. 12. 自己紹介 ■西口 昌宏 プログラマ、社内LANの運用管理を経て、ファー ストサーバでは技術サポート、DNS、デジタル証 明書業務に従事。 DNSやSSLが専門分野。 情報セキュリティスペシャリストだったりします 。 Twitter: @mahbo Copyright© 2014 Firstserver, Inc. All rights reserved. 11
  13. 13. 当社のサービスとSSL Copyright© 2014 Firstserver, Inc. All rights reserved. 12
  14. 14. 当社が提供するサービス タイプ サービス名称 サーバー 管理 コンテン ツ 管理 SSL関連サービス マネージド 共有サーバー ビズ2 当社 お客様 サーバー証明書取得代行 サーバセキュア化サービス マネージド 専用サーバー エンタープライ ズ3 当社 お客様 サーバー証明書取得代行 サーバセキュア化サービス セルフマネージ ド 専用サーバー デルタ お客様 お客様 シマンテック サーバー証明書クーポン SaaS desknet’sHR 当社 お客様 共有SSL PaaS PHP Ninja Node Ninja 当社 お客様 お客様 お客様 お客様 お客様 IaaS Z Cloud Copyright© 2014 Firstserver, Inc. All rights reserved. 代表例です 13
  15. 15. 当社のSSLサービス 認証局 種別 サービス 発行 Public シマンテックEVサーバー証明書 VeriSign シマンテックサーバー証明書 サイバートラストEVサーバー証明書 拡張認証 EV 発行対象 対象サービス 企業 https 企業 個人事業主 https 組織認証 OV CyberTrust サイバートラストサーバー証明書 BIZCERT 認証水準 拡張認証 EV 組織認証 OV CyberTrust 組織認証 OV サーバセキュア化サービス ドメイン認証型サーバー証明書 https/smtps/pops/ ftps GlobalSign ドメイン認 証 DV FirstServer 独自 ドメイン https サーバ契約者 https/ftps 共有SSL Private Firstserver Encryption Services (FirstServer社内CA) Copyright© 2014 Firstserver, Inc. All rights reserved. 14
  16. 16. 情報セキュリティとSSLの基本 Copyright© 2014 Firstserver, Inc. All rights reserved. 15
  17. 17. 情報セキュリティの3要素・6要素 機密性 責任追跡性 Confidentiality Accountability 信頼性 Reliability C.I.A 完全性 可用性 Integrity Availability 真正性 Authenticity Copyright© 2014 Firstserver, Inc. All rights reserved. 16
  18. 18. SSLの機能 漏洩防止 機密性 Confidentiality 改竄防止 完全性 成りすまし防止 Integrity 真正性 Authenticity Copyright© 2014 Firstserver, Inc. All rights reserved. 17
  19. 19. 信頼できる第三者機関 彼は消防署員 です 消防署の方 から来まし た 本当なのね 本当かしら TTP: Trusted Third Party Copyright© 2014 Firstserver, Inc. All rights reserved. 18
  20. 20. 印鑑証明書とデジタル証明書 印章 印影 鯖 印鑑証明書 市役所 鯖 名前 ~ 住所 ~ Bergmann 私有鍵 公開鍵 Copyright© 2014 Firstserver, Inc. All rights reserved. 公開鍵証明書 認証局 19
  21. 21. 印鑑証明書の発行 (2) 印鑑登録 鯖 名前 ~ 住所 ~ Bergmann (1) 印鑑証明書 鯖 名前 ~ 住所 ~ Copyright© 2014 Firstserver, Inc. All rights reserved. 20
  22. 22. 印鑑証明書の利用 Bergmann 契約書 鯖 印鑑証明書 鯖 (3) 名前 ~ 住所 ~ (4) Copyright© 2014 Firstserver, Inc. All rights reserved. 21
  23. 23. デジタル証明書の発行 (2) 証明書署名要求 名前 ~ 住所 ~ (1) Copyright© 2014 Firstserver, Inc. All rights reserved. 22
  24. 24. デジタル証明書の利用 信頼できる認証局 (信頼点) デジタルデータ デジタル署 名 (3) (4) Copyright© 2014 Firstserver, Inc. All rights reserved. 23
  25. 25. 認証水準について Copyright© 2014 Firstserver, Inc. All rights reserved. 24
  26. 26. 数々の「証明書」 正式・厳格 旅券 運転免許証 住民基本台帳カード 社員証 会員証 GPKI/LGPKI パブリック認証局 EV OV DV (独自ドメイン名) DV (共有SSL) プライベート認証局 略式・カジュアル Copyright© 2014 Firstserver, Inc. All rights reserved. 25
  27. 27. 認証水準 認証水準 認証基準 実在性確認 緑色のバー 拡張認証 (EV) 国際標準 ○ ○ 組織認証 (OV) 各認証局(※) ○ × ドメイン認証 各認証局(※) (DV) × × ※パブリック認証局に必要な基本要件は有る (Baseline Requirements) Copyright© 2014 Firstserver, Inc. All rights reserved. 26
  28. 28. 本当の相手は? 拡張認証 (EV) 会社や店 EXAMPLE.JP 組織認証 (OV) ドメイン ドメイン認証 (DV) お客様 共有SSL サーバ プライベート Robert.Harker 中の人 Copyright© 2014 Firstserver, Inc. All rights reserved. 27
  29. 29. 認証水準と各社証明書 拡張認証 EV 組織認証 OV 認証水準 高 CyberTrust セキュア・サーバID EV グローバル・サーバID SureServer EV 低 セキュア・サーバID グローバル・サーバID EV Symantec (VeriSign) ドメイン認証 DV SureServer (FirstServer) BIZCERT サーバセキュア化サービ ス GlobalSign EV SSL 企業認証SSL SECOM Trust Systems セコムパスポート for Web EV セコムパスポート for Web SR CrossTrust StartSSL クイック認証SSL Enterprise SSL StartSSL Extended Copyright© 2014 Firstserver, Inc. All rights reserved. Crypto SSL StartSSL Verified StartSSL Free 28
  30. 30. 改めて「オレオレ証明書」 第一種 • 不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もイ ンストールさせるつもりのないもの。 第二種 • 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をイ ンストールするよう促しているが、インストール方法として安全な手段が用意さ れていないもの。 第三種 • 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をイ ンストールするよう促しており、安全なインストール方法が用意されているもの。 第四種 • 特定の者だけに利用させることを想定しているもの。 第五種 • 正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認 証局がルートとして登録されていないもの。 第六種 • 正規の認証局(中間認証局)から取得したサーバ証明書であるが、中間認証局の 証明書をサーバに設置していないため、クライアントが認証パスを検証できない もの。 プ ラ イ ベ ー ト 認 証 局 パ ブ リ ッ ク 認 証 局 オレオレ証明書の区分 改訂版 (C)高木浩光氏 http://takagi-hiromitsu.jp/diary/20051118.html Copyright© 2014 Firstserver, Inc. All rights reserved. 29
  31. 31. 証明書の中身を見てみよう Subject 組織認証 (OV) の一例 CN = www.fsv.jp O = Firstserver, Inc. L = Osaka-shi S = Osaka C = JP Copyright© 2014 Firstserver, Inc. All rights reserved. SubjectAltName DNS Name=www.fsv.jp 30
  32. 32. 証明書の中身を見てみよう Subject ドメイン認証 (DV) の一例 CN = *.tongbi.jp O(Organization)が無い Copyright© 2014 Firstserver, Inc. All rights reserved. Subject FirstServer社内CAの場合 E = info@fsv.jp CN = www.example.jp O = "Firstserver, Inc" ST = Osaka どれを書くかは自由 C = JP 31
  33. 33. 認証手続き Copyright© 2014 Firstserver, Inc. All rights reserved. 32
  34. 34. ドメイン認証 • ドメインの管理や使用の権限を持つ者に確認 – WHOISの各担当者メールアドレス • 登録者 Registrant • 管理担当者 Administrative Contact • 技術担当者 Technical Contact – 一般的なメールアドレス • admin@example.jp • administrator@example.jp • webmaster@example.jp • hostmaster@example.jp • postmaster@example.jp • API Copyright© 2014 Firstserver, Inc. All rights reserved. 認証局により異なります 33
  35. 35. 組織認証 • ドメイン名の利用権限 – WHOIS – ドメイン認証 • 実在性 – 登記簿 – 第三者機関データベース – 第三者機関の訪問または意見書など • 商号/屋号 – 政府機関が提供する文書 – 政府機関とのメール記録 – 公共料金請求書、取引明細など • 申請の真正性 – 組織を代表して申請しているか Copyright© 2014 Firstserver, Inc. All rights reserved. 認証局により異なります 34
  36. 36. WEBサーバの設定について Copyright© 2014 Firstserver, Inc. All rights reserved. 35
  37. 37. 私有鍵の安全 • 漏洩しないこと – パーミッション • chmod 500 私有鍵ディレクトリ • chmod 400 私有鍵ファイル – パスフレーズを設定 • SSLPassPhraseDialog exec:/path/to/program • #!/bin/sh echo “パスフレーズ” • chmod 500 /path/to/program • 精度の良い乱数を使うこと – 擬似乱数のSEED • srand( time ^ $$ ^ unpack “%32L*”, `ps wwaxl | gzip` ); • UNIX時間、プロセスID、プロセス一覧の圧縮結果の排他的論理和 • 「Programing Perl Volume2」より Copyright© 2014 Firstserver, Inc. All rights reserved. 36
  38. 38. 暗号強度 サーバ/ブラウザ間の ネゴシエーション Robert.Harker Copyright© 2014 Firstserver, Inc. All rights reserved. 37
  39. 39. Webサーバ設定 • TLS/SSLバージョン – apache: SSLProtocol – nginx: ssl_protocols • 暗号スイート – apache: SSLCipherSuite – nginx: ssl_ciphers • openssl ciphers -v ’HIGH:!ADH:!MD5’ Copyright© 2014 Firstserver, Inc. All rights reserved. 38
  40. 40. SSLの無いネットなんて (C)ゲーム日記帳 Copyright© 2014 Firstserver, Inc. All rights reserved. 39
  41. 41. 結論 デジタル証明書は 用途に合わせて使い分けましょう Copyright© 2014 Firstserver, Inc. All rights reserved. 40
  42. 42. 最も弱い環の原則 A chain is no stronger than its weakest link (鎖はいちばん弱い輪以上に強くなれない) Copyright© 2014 Firstserver, Inc. All rights reserved. 41
  43. 43. Tongbi さくらインターネットのユーザ様にも使っていただきたい 無料のWEBサイトモニタリングサービスです。 http://tongbi.jp/ Respons Code Respons Time SSL Cert か http status codeが200か否か http responsの応答時間が閾値を超えていないか 証明書の有効期限が閾値(30日前)をむかえていない Copyright© 2014 Firstserver, Inc. All rights reserved. 42
  44. 44. ご清聴ありがとうございました Copyright© 2014 Firstserver, Inc. All rights reserved. 43
  45. 45. 44

×