ノウハウ
[初心者向け]

SSLの話 その2~SSLのここ数年の変遷~

ノウハウ
テクニカルサポート

SSL通信はセキュリティが命ですから、SSLに関連する脆弱性が発見されれば、当然よりセキュアな利用を促すように、案内が行われます。EX-CLOUDサービスがスタートして以来8年の間にも、いくつかの方針発表や変遷がありました。
SSLの仕様には
・1)ウェブサーバ側および、OSやプログラム作成元
・2)接続元の多数のクライアントやブラウザメーカー
・3)認証局
など、複数の規格が関わっています。またSSLサーバ証明書については1年毎の更新が多いこともありますし、新しい技術仕様が生み出されても、各関連企業が、数年単位で告知し、方針を打ち出していきじわじわ浸透します。エンドユーザ側では、その変化に気づかず、大きな影響をうけませんが、ウェブ開発に携わる方ならば、なんらかのニュースは耳にしているかもしれません。ここ数年のトピックを、いくつか振り返りつつ、関連ワードも確認していきましょう。

●EV SSLの発表

「SSLの見える化(可視化)」でより安心を目指すEV SSL
「SSLの見える化(可視化)」でより安心を目指すEV SSL

EV SSLとはブラウザに緑色のバーが表示されるタイプの企業認証型のサーバ証明書で、「ブラウザでアクセスしたら企業名も表示されて、よりわかりやすい」という利点があり、金融機関、大手ショッピングモールサイトなどでは EV SSLが使われているケースを良く見かけます。
通常のSSLサーバ証明書よりも比較的高価になるものもありますが、EX-CLOUDでも導入実績がございます。

参考サイト>EV SSLサーバ証明書
関連キーワード:【EV SSL証明書

●2048ビット未満(1024 ビットなど)の暗号鍵の鍵長(かぎちょう、Key Length)の証明書発行の廃止

鍵長とは暗号化のために必要なデータの長さ、ビット数のことです。鍵長が長くなれば、暗号が解読されにくくなるため、安全性を高めるため、2048ビット未満の鍵長での暗号化が廃止されました。Plesk 8の管理画面では、証明書のCSRおよび秘密鍵を発行する際、1024、2048は選択式となっておりました。Plesk11以降については2048ビットが固定となっています。

●SHA-1からSHA-2(SHA256)への”ハッシュアルゴリズム”への移行

秘密鍵、CSR作成、および証明書について、SHA2というハッシュアルゴリズム型式を選択することが、推奨されるようになりました。当社発行のCSR、秘密鍵、証明書についても、2014年の一定時期から対応しています。
SSLの署名アルゴリズムのSHA-1からSHA-2への移行ついてと端末別対応率について教えてください
SSL証明書の署名アルゴリズムがSHA-2(SHA256)に変更となる場合のCSRの作成方法は変わりますか?

●SNI(Server Name Indication)でのサーバ証明書の事例の増加

IPアドレスとコモンネームに対してユニークなサーバ証明書を発行するのではなく、コモンネームベースでサーバ証明書を適応する技術仕様がSNIで、当サービスではRS1などで、より手軽にサーバ証明書を適応する方が増えてきています。OpenSSLやApacheバージョンの仕様により、対応可否が決まります。
関連キーワード:【SNI(エスエヌアイ)

●GoogleがHTTPSを優先インデックス化すると発表

Indexing HTTPS pages by default - Google Webmaster Central Blog (英語)
Googleはユーザのセキュリティのために、ウェブアクセスの際、HTTPSを優先的に選択する方針を発表しています。
この内容を受けて、ウェブサーバ運営側も、これまで「HTTP用」「HTTPS用」とドキュメントルートを分けて運用せず、運用するように切り替えた、という方も多いかもしれません。
Plesk8の仕様では、HTTP用、HTTPS用のドキュメントルートを分けて運用する形を選択できる仕様でしたが、Plesk11ではHTTPもHTTPSも同じドキュメントルートになる状況になっています。
関連キーワード:【HSTS(エイチエスティーエス)】【HTTPS Everywhere

●SSL 3.0の脆弱性と「POODLE」の対策 CVE-2014-3566

もちろん、これ以外にもSSLに関連する脆弱性のニュースもありますが、SSL規格に影響する大きなトピックでした。
Plesk8、Plesk11搭載の仮想専用サーバについての対応方法は以下をご参照ください。
SSL 3.0の脆弱性「POODLE」の対策について EX-CLOUD メンテナンス・障害情報ブログ
関連キーワード:【TLS(ティーエルエス)

●SSLv2.0 の脆弱性「DROWN」CVE-2016-0800

こちらは比較的直近ののSSL 2.0の脆弱性のトピックです。
SSLv2.0 の脆弱性「DROWN」の対応について EX-CLOUD メンテナンス・障害情報ブログ

●まとめ

ここ数年において、SSLの規格も変化しています。

セキュリティの仕様を最新のものに限定すれば、自分のサーバについては攻撃されにくくなるかもしれません。ただし、通信は相手があってはじめて成り立つものですので、たとえば、脆弱性のあるバージョンでないと通信ができない仕様のクライアントやサーバが外部にあったら、自分のサーバのバージョンアップにより、別の通信エラーが生じるということもありえます。

セキュリティ対策一般に言えることですが、最終的に何を重視し、どう選択していくのか、専用サーバをご利用されている各社様でも対応策が異なるというのが実情です。

また、SSL証明書の商品の世界シェアについても大きく変動し、企業の再編成なども多く行われてきました。

SSL証明書については「より安く、すべてのウェブサービスにSSLを提供し、暗号化通信を実現しよう」という動きと「多少これまでのSSLよりは手間やコストがかかったとしても、もっとわかりやすく”誰でもわかる”企業認証の規格を広めよう」という動き、両方があるように思えます。

次回は無料でもブラウザエラーがでない証明書についてお話しようと思います。

この記事を書いた人

テクニカルサポート

テクニカルサポートを得意とするエクスクラウドのサポートスタッフ。

この記事のタグ

オススメの記事

ページトップへ