CLARA, Inc., profile picture
Uploaded byCLARA, Inc.
1,629 views

【くららカフェ#4】最新SSL動向

3月19日開催くららカフェの資料

Embed presentation

最新SSL動向! 株式会社クララオンライン 担当S 1
© 1997-2015 CLARA ONLINE, Inc. All rights reserved.  神奈川生まれ、東京出身  情報学部出身  クララ5年目で今運用チーム  かわいいものが大好きで、カピバラさんが好き 自己紹介 2
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. 最新SSL動向とかカッコいいこといっていますが、 とりあえず!今日の目的は、 いろんなSSLで起こったことをまとめて 振り返ってみたいと思います! 本日の目的 3
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. SSLってなに? その前に! 4
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► プロトコルの通称 Secure Sockets Layerの略でインターネットなどのTCP/IPネットワークでデータ を暗号化して送受信するプロトコルの一つ。 SSLは公開鍵証明書による通信相手の認証、通信の暗号化、ハッシュ関数による改 ざん検知などがおこなえます。 → でも現在は TLS (Transport Layer Security)です。 ► SSLサーバ証明書 一般的にSSLで検索すると出てくるのがこれ。 簡単にいうと通信の暗号化と WEBサイトを運営する運営者の身元を確認できる と いう2つの機能があるセキュリティ向上と身元確認のためのツールです。 ► OpenSSL SSLをつかうためのモジュールです。 実際に使うには他にも必要だったりしますが、まず必要なもの! そして最近脆弱性対応で大変なあの子です。。 SSLで思いつくものをあげてみる 5
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. 使い方次第です! SSL使えば暗号化するから安全!本当に? 6
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. こんな使い方していませんか? SSL使えば暗号化するから安全!本当に? 7 暗号化したいページは https://でリンク張りましょう! もしhttp://だったら、https:// で見ましょう!
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. あれクララのサイトなのに? 8 悪い例は実際紹介できないので、分かりやすいよう捏造しています。 AKB社 あれ!違う会社だ!
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► 利用する意味がなくなってしまいます。 → もったいない! さきほどの例のような使い方をすると 9 通信の暗号化 Webサイトの 身元確認
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. 日時 概要 2012年7月1日Baseline Requirements発効 2012年8月14日1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254) の公開 2013年2月14日ECC/DSA のリリース 2013年5月27日ベリサインがシマンテックに 2013年11月SHA-1 のMicrosoft発表 2013年12月31日1024bitのSSLサーバ証明書の終了 2014年8-9月Google のSHA-1対応の発表 2014年4月8日Heartbleed OpenSSL 脆弱性情報 (CVE-2014-0160) 2014年6月6日CCS Injection OpenSSL 脆弱性情報(CVE-2014-0224) 2014年10月15日SSL ver3.0 (POODLE) の脆弱性(CVE-2014-3566) 2014年12月10日「POODLE」で追加で脆弱性 SSLの簡単な時系列1 10
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. 日時 概要 2015年2月1日EVSSLのCertificate Transparency 対応 2015年3月4日FREAK OpenSSL 脆弱性情報(CVE-2015-0204) 2015年7月ノートンセキュアドシールのソース変更 2015年12月31日SHA-1の発行終了 2016年12月31日SHA-1のSSLサーバ証明書の終了 SSLの簡単な時系列2 11
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. CA/Browserフォーラムのこと 12 Microsoft Root Certificate Program Mozilla CA Certificate Policy ブラウザベンダー系 業界団体系 Baseline Requirements EV SSL Certificate Guidelines 米国政府 SP 800-131A 日本政府 政府機関の情報システ ムにおいて使用されて いる暗号アルゴリズム SHA-1 及びRSA1024 に 係る移行指針 政府系
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► 2015/11/1以降有効期限を有する予約IPアドレス・内部サーバ名の証明書は認証局 (CA)は発行しない(それ以前でも推奨されないし、 2016/10までに廃止される) ► ドメイン認証の際に必要な申請可能な承認メールアドレスが規定され、ベンダー 毎の差異がなくなった(it@, root@などはできなくなりました) ► 一部条件を除き、2015 年 4 月 1 日以降に発行される証明書には、39 カ月以下の 有効期間を設けなければならない (事実上の5,4年証明書の廃止) 主なBaseline Requirements発効でできなくなったこと 13
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. コードサイニング 証明書誤発行 CAシステム ハッキング 不正アクセス 犯行声明 某政府 Sub-CA 512bit証明書でマル ウェアに署名 不正な証明書が発効 インシデント系 14
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. ► SSLサーバ証明書は受け身なセキュリティツール。 ただ使うだけでは暗号化通信はできない!自分で確認しましょう! ► SSLサーバ証明書は日々どんどん暗号強度が落ちていくため、それを防ぐ仕様変更 に対応していかなければならない 今日の結論 15
© 1997-2015 CLARA ONLINE, Inc. All rights reserved. ご清聴ありがとうございました! 16

More Related Content

PDF
AWSだけで出来る(たぶん)一番早く構築するセキュアな環境
byJun Okumura
 
PDF
VadeSecure: フランスソフトウェアベンダーあるある
byKatsumi INOUE
 
PDF
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
byさくらインターネット株式会社
 
PPTX
Fiddler Scriptデモ
byhagurese
 
PDF
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
byKenji Urushima
 
PPTX
エンジニアが知っておくべきSSL/TLSの知識(仮)
byMasahiro NAKAYAMA
 
PDF
SSL/TLSの基礎と最新動向
byshigeki_ohtsu
 
PDF
エンジニア目線での対外ブランディング ~ヌーラボ編~
byikikko
 
AWSだけで出来る(たぶん)一番早く構築するセキュアな環境
byJun Okumura
 
VadeSecure: フランスソフトウェアベンダーあるある
byKatsumi INOUE
 
【さくらインターネット】簡単解説 SSLサーバ証明書とは?
byさくらインターネット株式会社
 
Fiddler Scriptデモ
byhagurese
 
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
byKenji Urushima
 
エンジニアが知っておくべきSSL/TLSの知識(仮)
byMasahiro NAKAYAMA
 
SSL/TLSの基礎と最新動向
byshigeki_ohtsu
 
エンジニア目線での対外ブランディング ~ヌーラボ編~
byikikko
 

Similar to 【くららカフェ#4】最新SSL動向

PDF
SSLの最新トレンド
byJ-Stream Inc.
 
PDF
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
byYoshitake Takata
 
PPTX
勉強会 Vol2【SSL証明書とは】
bychimoto
 
PDF
Wb倉敷 ssl説明資料
by真琴 平賀
 
PDF
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
byKenji Urushima
 
PDF
Ssl
byNet Kanayan
 
PPTX
SSL で守られる生活
by京大 マイコンクラブ
 
PDF
Wp sslandroot certificate
byYoshida Yuri
 
PPTX
SSLの技術的な仕組みとサイトのSSL化について
byssuserb5e2a0
 
PDF
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
byDevelopers Summit
 
PPTX
SSL入門
byTakeru Ujinawa
 
PDF
プロフェッショナルSSL/TLS 1.2章
byMITSUNARI Shigeo
 
PDF
『プロフェッショナルSSL/TLS』読書会5章
byMITSUNARI Shigeo
 
PPTX
これから始めるssl対策
byShohei Kobayashi
 
PDF
Amazon CloudFront TLS/SSL Seminar 20160804
byHayato Kiriyama
 
PPTX
AWSを学ぶ上で必要となる前提知識(SSL)
by聡 大久保
 
PDF
『プロフェッショナルSSL/TLS』読書会3章
byMITSUNARI Shigeo
 
PDF
デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)
byDevelopers Summit
 
PDF
Slaesforce TLS1.0 無効化にあたって
byHiroyuki Sawano
 
PDF
SSL暗号化通信を利用したネットワークセキュリティの向上
byAtsushi Matsuo
 
SSLの最新トレンド
byJ-Stream Inc.
 
Webの通信を暗号化で安全に!無料ではじめるSSL証明書入門
byYoshitake Takata
 
勉強会 Vol2【SSL証明書とは】
bychimoto
 
Wb倉敷 ssl説明資料
by真琴 平賀
 
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
byKenji Urushima
 
Ssl
byNet Kanayan
 
SSL で守られる生活
by京大 マイコンクラブ
 
Wp sslandroot certificate
byYoshida Yuri
 
SSLの技術的な仕組みとサイトのSSL化について
byssuserb5e2a0
 
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
byDevelopers Summit
 
SSL入門
byTakeru Ujinawa
 
プロフェッショナルSSL/TLS 1.2章
byMITSUNARI Shigeo
 
『プロフェッショナルSSL/TLS』読書会5章
byMITSUNARI Shigeo
 
これから始めるssl対策
byShohei Kobayashi
 
Amazon CloudFront TLS/SSL Seminar 20160804
byHayato Kiriyama
 
AWSを学ぶ上で必要となる前提知識(SSL)
by聡 大久保
 
『プロフェッショナルSSL/TLS』読書会3章
byMITSUNARI Shigeo
 
デブサミ2014【14-E-L】暗号破りに新たな攻撃!進化する脅威に対抗するためのwebサイトセキュリティとsslの進化(林正人〔日本ベリサイン〕)
byDevelopers Summit
 
Slaesforce TLS1.0 無効化にあたって
byHiroyuki Sawano
 
SSL暗号化通信を利用したネットワークセキュリティの向上
byAtsushi Matsuo
 

More from CLARA, Inc.

PDF
第39 回中国インターネット発展情報統計 (抜粋・参考訳)
byCLARA, Inc.
 
PDF
ネット接続サービス市場の規範化に関する通知について
byCLARA, Inc.
 
PDF
中国版サイバーセキュリティ法案の影響
byCLARA, Inc.
 
PDF
中国の宅配便市場と最新法令事情
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2016年3/4月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2016年1/2月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年11/12月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年9/10月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年8月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年6/7月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年4/5月号
byCLARA, Inc.
 
PDF
中国のコールセンター市場
byCLARA, Inc.
 
PDF
中国における日用品消費の拡大と輸出事情
byCLARA, Inc.
 
PDF
法人契約の携帯電話、所持者の実名登録が必要に
byCLARA, Inc.
 
PDF
今さら聞けない「アジアインフラ投資銀行」の基礎知識
byCLARA, Inc.
 
PDF
20141215 中国モバイルゲーム市場
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年2 3月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2015年1月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2014年12月号
byCLARA, Inc.
 
PDF
易観国際中国Itマンスリーニュース2014年11月号
byCLARA, Inc.
 
第39 回中国インターネット発展情報統計 (抜粋・参考訳)
byCLARA, Inc.
 
ネット接続サービス市場の規範化に関する通知について
byCLARA, Inc.
 
中国版サイバーセキュリティ法案の影響
byCLARA, Inc.
 
中国の宅配便市場と最新法令事情
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2016年3/4月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2016年1/2月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年11/12月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年9/10月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年8月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年6/7月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年4/5月号
byCLARA, Inc.
 
中国のコールセンター市場
byCLARA, Inc.
 
中国における日用品消費の拡大と輸出事情
byCLARA, Inc.
 
法人契約の携帯電話、所持者の実名登録が必要に
byCLARA, Inc.
 
今さら聞けない「アジアインフラ投資銀行」の基礎知識
byCLARA, Inc.
 
20141215 中国モバイルゲーム市場
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年2 3月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2015年1月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2014年12月号
byCLARA, Inc.
 
易観国際中国Itマンスリーニュース2014年11月号
byCLARA, Inc.
 

【くららカフェ#4】最新SSL動向

  • 1.
  • 2.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved.  神奈川生まれ、東京出身  情報学部出身  クララ5年目で今運用チーム  かわいいものが大好きで、カピバラさんが好き 自己紹介 2
  • 3.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. 最新SSL動向とかカッコいいこといっていますが、 とりあえず!今日の目的は、 いろんなSSLで起こったことをまとめて 振り返ってみたいと思います! 本日の目的 3
  • 4.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. SSLってなに? その前に! 4
  • 5.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. ► プロトコルの通称 Secure Sockets Layerの略でインターネットなどのTCP/IPネットワークでデータ を暗号化して送受信するプロトコルの一つ。 SSLは公開鍵証明書による通信相手の認証、通信の暗号化、ハッシュ関数による改 ざん検知などがおこなえます。 → でも現在は TLS (Transport Layer Security)です。 ► SSLサーバ証明書 一般的にSSLで検索すると出てくるのがこれ。 簡単にいうと通信の暗号化と WEBサイトを運営する運営者の身元を確認できる と いう2つの機能があるセキュリティ向上と身元確認のためのツールです。 ► OpenSSL SSLをつかうためのモジュールです。 実際に使うには他にも必要だったりしますが、まず必要なもの! そして最近脆弱性対応で大変なあの子です。。 SSLで思いつくものをあげてみる 5
  • 6.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. 使い方次第です! SSL使えば暗号化するから安全!本当に? 6
  • 7.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. こんな使い方していませんか? SSL使えば暗号化するから安全!本当に? 7 暗号化したいページは https://でリンク張りましょう! もしhttp://だったら、https:// で見ましょう!
  • 8.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. あれクララのサイトなのに? 8 悪い例は実際紹介できないので、分かりやすいよう捏造しています。 AKB社 あれ!違う会社だ!
  • 9.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. ► 利用する意味がなくなってしまいます。 → もったいない! さきほどの例のような使い方をすると 9 通信の暗号化 Webサイトの 身元確認
  • 10.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. 日時 概要 2012年7月1日Baseline Requirements発効 2012年8月14日1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254) の公開 2013年2月14日ECC/DSA のリリース 2013年5月27日ベリサインがシマンテックに 2013年11月SHA-1 のMicrosoft発表 2013年12月31日1024bitのSSLサーバ証明書の終了 2014年8-9月Google のSHA-1対応の発表 2014年4月8日Heartbleed OpenSSL 脆弱性情報 (CVE-2014-0160) 2014年6月6日CCS Injection OpenSSL 脆弱性情報(CVE-2014-0224) 2014年10月15日SSL ver3.0 (POODLE) の脆弱性(CVE-2014-3566) 2014年12月10日「POODLE」で追加で脆弱性 SSLの簡単な時系列1 10
  • 11.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. 日時 概要 2015年2月1日EVSSLのCertificate Transparency 対応 2015年3月4日FREAK OpenSSL 脆弱性情報(CVE-2015-0204) 2015年7月ノートンセキュアドシールのソース変更 2015年12月31日SHA-1の発行終了 2016年12月31日SHA-1のSSLサーバ証明書の終了 SSLの簡単な時系列2 11
  • 12.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. CA/Browserフォーラムのこと 12 Microsoft Root Certificate Program Mozilla CA Certificate Policy ブラウザベンダー系 業界団体系 Baseline Requirements EV SSL Certificate Guidelines 米国政府 SP 800-131A 日本政府 政府機関の情報システ ムにおいて使用されて いる暗号アルゴリズム SHA-1 及びRSA1024 に 係る移行指針 政府系
  • 13.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. ► 2015/11/1以降有効期限を有する予約IPアドレス・内部サーバ名の証明書は認証局 (CA)は発行しない(それ以前でも推奨されないし、 2016/10までに廃止される) ► ドメイン認証の際に必要な申請可能な承認メールアドレスが規定され、ベンダー 毎の差異がなくなった(it@, root@などはできなくなりました) ► 一部条件を除き、2015 年 4 月 1 日以降に発行される証明書には、39 カ月以下の 有効期間を設けなければならない (事実上の5,4年証明書の廃止) 主なBaseline Requirements発効でできなくなったこと 13
  • 14.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. コードサイニング 証明書誤発行 CAシステム ハッキング 不正アクセス 犯行声明 某政府 Sub-CA 512bit証明書でマル ウェアに署名 不正な証明書が発効 インシデント系 14
  • 15.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. ► SSLサーバ証明書は受け身なセキュリティツール。 ただ使うだけでは暗号化通信はできない!自分で確認しましょう! ► SSLサーバ証明書は日々どんどん暗号強度が落ちていくため、それを防ぐ仕様変更 に対応していかなければならない 今日の結論 15
  • 16.
    © 1997-2015 CLARAONLINE, Inc. All rights reserved. ご清聴ありがとうございました! 16