Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

【くららカフェ#4】最新SSL動向

1,253 views

Published on

3月19日開催くららカフェの資料

Published in: Internet
  • Be the first to comment

  • Be the first to like this

【くららカフェ#4】最新SSL動向

  1. 1. 最新SSL動向! 株式会社クララオンライン 担当S 1
  2. 2. © 1997-2015 CLARA ONLINE, Inc. All rights reserved.  神奈川生まれ、東京出身  情報学部出身  クララ5年目で今運用チーム  かわいいものが大好きで、カピバラさんが好き 自己紹介 2
  3. 3. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. 最新SSL動向とかカッコいいこといっていますが、 とりあえず!今日の目的は、 いろんなSSLで起こったことをまとめて 振り返ってみたいと思います! 本日の目的 3
  4. 4. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. SSLってなに? その前に! 4
  5. 5. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► プロトコルの通称 Secure Sockets Layerの略でインターネットなどのTCP/IPネットワークでデータ を暗号化して送受信するプロトコルの一つ。 SSLは公開鍵証明書による通信相手の認証、通信の暗号化、ハッシュ関数による改 ざん検知などがおこなえます。 → でも現在は TLS (Transport Layer Security)です。 ► SSLサーバ証明書 一般的にSSLで検索すると出てくるのがこれ。 簡単にいうと通信の暗号化と WEBサイトを運営する運営者の身元を確認できる と いう2つの機能があるセキュリティ向上と身元確認のためのツールです。 ► OpenSSL SSLをつかうためのモジュールです。 実際に使うには他にも必要だったりしますが、まず必要なもの! そして最近脆弱性対応で大変なあの子です。。 SSLで思いつくものをあげてみる 5
  6. 6. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. 使い方次第です! SSL使えば暗号化するから安全!本当に? 6
  7. 7. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. こんな使い方していませんか? SSL使えば暗号化するから安全!本当に? 7 暗号化したいページは https://でリンク張りましょう! もしhttp://だったら、https:// で見ましょう!
  8. 8. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. あれクララのサイトなのに? 8 悪い例は実際紹介できないので、分かりやすいよう捏造しています。 AKB社 あれ!違う会社だ!
  9. 9. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► 利用する意味がなくなってしまいます。 → もったいない! さきほどの例のような使い方をすると 9 通信の暗号化 Webサイトの 身元確認
  10. 10. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. 日時 概要 2012年7月1日Baseline Requirements発効 2012年8月14日1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254) の公開 2013年2月14日ECC/DSA のリリース 2013年5月27日ベリサインがシマンテックに 2013年11月SHA-1 のMicrosoft発表 2013年12月31日1024bitのSSLサーバ証明書の終了 2014年8-9月Google のSHA-1対応の発表 2014年4月8日Heartbleed OpenSSL 脆弱性情報 (CVE-2014-0160) 2014年6月6日CCS Injection OpenSSL 脆弱性情報(CVE-2014-0224) 2014年10月15日SSL ver3.0 (POODLE) の脆弱性(CVE-2014-3566) 2014年12月10日「POODLE」で追加で脆弱性 SSLの簡単な時系列1 10
  11. 11. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. 日時 概要 2015年2月1日EVSSLのCertificate Transparency 対応 2015年3月4日FREAK OpenSSL 脆弱性情報(CVE-2015-0204) 2015年7月ノートンセキュアドシールのソース変更 2015年12月31日SHA-1の発行終了 2016年12月31日SHA-1のSSLサーバ証明書の終了 SSLの簡単な時系列2 11
  12. 12. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. CA/Browserフォーラムのこと 12 Microsoft Root Certificate Program Mozilla CA Certificate Policy ブラウザベンダー系 業界団体系 Baseline Requirements EV SSL Certificate Guidelines 米国政府 SP 800-131A 日本政府 政府機関の情報システ ムにおいて使用されて いる暗号アルゴリズム SHA-1 及びRSA1024 に 係る移行指針 政府系
  13. 13. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► 2015/11/1以降有効期限を有する予約IPアドレス・内部サーバ名の証明書は認証局 (CA)は発行しない(それ以前でも推奨されないし、 2016/10までに廃止される) ► ドメイン認証の際に必要な申請可能な承認メールアドレスが規定され、ベンダー 毎の差異がなくなった(it@, root@などはできなくなりました) ► 一部条件を除き、2015 年 4 月 1 日以降に発行される証明書には、39 カ月以下の 有効期間を設けなければならない (事実上の5,4年証明書の廃止) 主なBaseline Requirements発効でできなくなったこと 13
  14. 14. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. コードサイニング 証明書誤発行 CAシステム ハッキング 不正アクセス 犯行声明 某政府 Sub-CA 512bit証明書でマル ウェアに署名 不正な証明書が発効 インシデント系 14
  15. 15. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► SSLサーバ証明書は受け身なセキュリティツール。 ただ使うだけでは暗号化通信はできない!自分で確認しましょう! ► SSLサーバ証明書は日々どんどん暗号強度が落ちていくため、それを防ぐ仕様変更 に対応していかなければならない 今日の結論 15
  16. 16. © 1997-2015 CLARA ONLINE, Inc. All rights reserved. ご清聴ありがとうございました! 16

×