【くららカフェ#4】最新厂厂尝动向
- 2. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. ? 神奈川生まれ、東京出身 ? 情報学部出身 ? クララ5年目で今運用チーム ? かわいいものが大好きで、カピバラさんが好き 自己紹介 2
- 3. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. 最新SSL動向とかカッコいいこといっていますが、 とりあえず!今日の目的は、 いろんなSSLで起こったことをまとめて 振り返ってみたいと思います! 本日の目的 3
- 4. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. SSLってなに? その前に! 4
- 5. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. ? プロトコルの通称 Secure Sockets Layerの略でインターネットなどのTCP/IPネットワークでデータ を暗号化して送受信するプロトコルの一つ。 SSLは公開鍵証明書による通信相手の認証、通信の暗号化、ハッシュ関数による改 ざん検知などがおこなえます。 → でも現在は TLS (Transport Layer Security)です。 ? SSLサーバ証明書 一般的にSSLで検索すると出てくるのがこれ。 簡単にいうと通信の暗号化と WEBサイトを運営する運営者の身元を確認できる と いう2つの機能があるセキュリティ向上と身元確認のためのツールです。 ? OpenSSL SSLをつかうためのモジュールです。 実際に使うには他にも必要だったりしますが、まず必要なもの! そして最近脆弱性対応で大変なあの子です。。 SSLで思いつくものをあげてみる 5
- 6. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. 使い方次第です! SSL使えば暗号化するから安全!本当に? 6
- 7. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. こんな使い方していませんか? SSL使えば暗号化するから安全!本当に? 7 暗号化したいページは https://でリンク張りましょう! もしhttp://だったら、https:// で見ましょう!
- 8. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. あれクララのサイトなのに? 8 悪い例は実際紹介できないので、分かりやすいよう捏造しています。 AKB社 あれ!違う会社だ!
- 9. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. ? 利用する意味がなくなってしまいます。 → もったいない! さきほどの例のような使い方をすると 9 通信の暗号化 Webサイトの 身元確認
- 10. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. 日時 概要 2012年7月1日Baseline Requirements発効 2012年8月14日1024 ビット未満の鍵長を持つ証明書を無効にする更新プログラム (KB2661254) の公開 2013年2月14日ECC/DSA のリリース 2013年5月27日ベリサインがシマンテックに 2013年11月SHA-1 のMicrosoft発表 2013年12月31日1024bitのSSLサーバ証明書の終了 2014年8-9月Google のSHA-1対応の発表 2014年4月8日Heartbleed OpenSSL 脆弱性情報 (CVE-2014-0160) 2014年6月6日CCS Injection OpenSSL 脆弱性情報(CVE-2014-0224) 2014年10月15日SSL ver3.0 (POODLE) の脆弱性(CVE-2014-3566) 2014年12月10日「POODLE」で追加で脆弱性 SSLの簡単な時系列1 10
- 11. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. 日時 概要 2015年2月1日EVSSLのCertificate Transparency 対応 2015年3月4日FREAK OpenSSL 脆弱性情報(CVE-2015-0204) 2015年7月ノートンセキュアドシールのソース変更 2015年12月31日SHA-1の発行終了 2016年12月31日SHA-1のSSLサーバ証明書の終了 SSLの簡単な時系列2 11
- 12. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. CA/Browserフォーラムのこと 12 Microsoft Root Certificate Program Mozilla CA Certificate Policy ブラウザベンダー系 業界団体系 Baseline Requirements EV SSL Certificate Guidelines 米国政府 SP 800-131A 日本政府 政府機関の情報システ ムにおいて使用されて いる暗号アルゴリズム SHA-1 及びRSA1024 に 係る移行指針 政府系
- 13. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. ? 2015/11/1以降有効期限を有する予約IPアドレス?内部サーバ名の証明書は認証局 (CA)は発行しない(それ以前でも推奨されないし、 2016/10までに廃止される) ? ドメイン認証の際に必要な申請可能な承認メールアドレスが規定され、ベンダー 毎の差異がなくなった(it@, root@などはできなくなりました) ? 一部条件を除き、2015 年 4 月 1 日以降に発行される証明書には、39 カ月以下の 有効期間を設けなければならない (事実上の5,4年証明書の廃止) 主なBaseline Requirements発効でできなくなったこと 13
- 14. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. コードサイニング 証明書誤発行 CAシステム ハッキング 不正アクセス 犯行声明 某政府 Sub-CA 512bit証明書でマル ウェアに署名 不正な証明書が発効 インシデント系 14
- 15. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. ? SSLサーバ証明書は受け身なセキュリティツール。 ただ使うだけでは暗号化通信はできない!自分で確認しましょう! ? SSLサーバ証明書は日々どんどん暗号強度が落ちていくため、それを防ぐ仕様変更 に対応していかなければならない 今日の結論 15
- 16. ? 1997-2015 CLARA ONLINE, Inc. All rights reserved. ご清聴ありがとうございました! 16