SSL対応のコンテンツを作成する際の注意点
https:// で始まるURLにアクセスした際に、以下のメッセージが表示されることがあります。
- FireFox の場合
SSL暗号で保護されてるコンテンツと、保護されていないコンテンツが
同一の画面で表示するときの警告メッセージとなります。
原因としては次のような場合があげられます。
【原因】
- フレームを利用したページ構成で、フレームの一部に非SSLのページを呼び出している
- 画像、CSS、JavaScriptなどのファイルを「http」で始まるURLで参照している
- 非SSLへのページリンクを設定している
【解決方法】
このような警告メッセージがウェブサイトの離脱率を非常に高めるという
報告があがっていますので、管理されているウェブサイトを今一度ご確認ください。
今年は「暗号の2010年問題」の年です。
暗号の2010年問題とは
暗号化とは、暗号化されていないデータ(平文という)を特定のアルゴリズムを用いて、
意味を持たない文字列に変換することで、第三者に盗聴されても、
解読されないための技術です。
現在、SSLサーバ証明書などで主に使用されている1024ビットRSA暗号は、
1024ビット合成数の素因数分解が困難なことを利用した暗号化方法で、
その計算時間に多大な時間を要することで、現実的な時間で解読できない
ことで安全性を確保しています。
但し、この安全性はコンピュータの処理能力や技術が向上するにつれ、
暗号解読の技術も進化するため、年々、暗号化の安全性も低下します。
先日、768ビットのRSA暗号が国内の研究機関で分解に成功しました。
1024ビットのRSA暗号が解読されるには、
まだ数年の時間が必要とされていますが、米国政府が2010年までに1024ビットの
RSA暗号など暗号強度の低い技術を廃止し、より安全な暗号化技術に
切り替えることが発表されました。
このことを「暗号の2010年問題」と言われています。
今後の暗号化技術
暗号化の方法には様々な種類があります。
暗号化の歴史は古く、その多くが軍事利用を目的とし、
様々な暗号化技術が開発されては、解読者に解読され、
また、新たな暗号技術が誕生してきました。
第一次世界大戦を「化学」の戦争とするならば、第二次世界大戦は「物理」の戦争、
第三次世界大戦があるとするならば「数学(情報)」の戦争と言われています。
1024ビットのRSA暗号も時間の問題で解読されてしまいます。
なるべく1024ビットよりも安全な2048ビットの公開鍵長に対応した
SSLサーバ証明書の導入をお勧め致します。
ブリッジSSL/CSR生成(2048bitのCSRを生成して頂くことができます)
なお、最新技術として、量子コンピュータや量子暗号の開発が多方面で進められ、
米国の有名な機関では開発に成功しているという話が囁かれています。
このような技術開発が進んでいく(もしくは素因数分解の公式が見つかれば!)につれて、
RSA暗号も新しい技術を取り入れた他の暗号化技術に置き換えられ、
ウェブサイトもより堅牢な方法で安全を確保されていくと思います。
SSL証明書比較・証明書格安取得なら「BridgeSSL」
貴社のWebサイトは安全ですか?SSL証明書で「安心と信頼の証」を
SSLサーバ証明書の申請から発行までが分かる6つの手順
- 申請の準備
- お申込み
- CSRと承認要請メールアドレスのご連絡
- お支払い
- 審査、承認確認
- 証明書発行、証明書のインストール
1.申請の準備
【ドメイン認証】
以下の2点を事前に準備して頂く必要があります。
- 秘密鍵、CSR : 秘密鍵とCSRを30秒で簡単生成(Apache編)
- 承認メール受信用のメールアドレス : 承認メール受信用のメールアドレスとは
【企業認証】
以下の3点を事前に準備して頂く必要があります。
各種書類については申請条件により異なる場合があります。
2.お申込み
ブリッジSSLでは貴社Webサイトに最適なSSLサーバ証明書をご提供できます。
「BridgeSSL/お申込み」
3.CSRのご連絡
CSRをご連絡して頂きます。
-----BEGIN CERTIFICATE REQUEST----- から -----END CERTIFICATE REQUEST----- までを
コピー&ペーストでご連絡ください。
※CSRと併せて承認要請メールアドレスをご連絡して頂く場合があります。
4.お支払い
指定の振込方法で商品金額をお振込みください。
承認メール受信用のメールアドレスとは
SSLサーバ証明書の発行には本人確認が必要となります。
ドメイン認証では書類申請が不要なオンライン申請を採用しておりメールにて本人確認をしています。
お申し込み前にドメイン所有者のみが受信可能と想定されるメールアドレス(admin、root@等の
メールアドレス、もしくはWhoisに記載のあるメールアドレス)をご準備ください。
管理者として想定されるメールアドレス
承認メールアドレスとして選択できるのは、以下のメールアドレスです。
※コモンネームが example.jp の場合
admin@example.jp
administrator@example.jp
hostmaster@example.jp
webmaster@example.jp
is@example.jp
mis@example.jp
ssladministrator@example.jp
sslwebmaster@example.jp
postmaster@example.jp
秘密鍵とCSRを30秒で簡単生成(Apache編)
- https://bridge-ssl.jp/csr/ (ブリッジSSL/CSR生成)
ディスティングイッシュネームを入力して頂くことで、
秘密鍵とCSRのペアを生成して頂くことができます。
- 秘密鍵について
CSRの作成や、発行されたサーバ証明書の運用に必要となります。
セキュリティ上、最も大切な情報ですので、秘密鍵は必ず厳重に管理する必要があります。
秘密鍵が漏洩した場合は暗号化の安全性が失われます。
- CSRについて
CSR(証明書署名要求)とは、SSLサーバ証明書取得するために認証局へ提出する署名リクエストです。
CSRのサンプル:
秘密鍵とCSRは正しい組み合わせでなければインストールできません。
必ず秘密鍵とCSRはバックアップを取り、パスフレーズを設定した場合は忘れないよう注意ください。
※パスフレーズについて
パスフレーズを設定した場合は、サーバ再起動時に秘密鍵のパスフレーズを入力が必要になります。
通常は入力の必要はありません。
SSL証明書比較・証明書格安取得なら「BridgeSSL」
貴社のWebサイトは安全ですか?SSL証明書で「安心と信頼の証」を
SSLサーバ証明書の種類が分かる
SSLサーバ証明書は、認証方法の違いにより以下の3つに分割することができます。
公開鍵暗号化方式を利用した暗号化技術という点では各証明書に違いはありませんが、
これからSSLサーバ証明書を導入される予定がある管理者の方は、
これらの中から目的に応じて、それを満たす証明書を選ぶ必要があります。
■ドメイン認証とは
ドメイン名やIPアドレスの登録者などの情報が参照できる「Whois」の情報を元に、
サーバの実在を証明する方法です。Webサイトに設置した問い合わせフォームや
簡易な個人情報を取り扱う場合などは、最低限の通信の安全を確保することが要求されますので、
短期間かつ低コストで取得が可能なドメイン認証が重宝される傾向にあります。
■企業認証とは
企業認証は、その企業の実在性を証明します。
登記簿謄本、帝国データバンクや東京商工リサーチの登録情報を元に、
認証局が証明書発行のための審査を行い、その企業の実在性を認証します。
■EV SSLとは
EV SSLは「Extended Validation SSL証明書」の略で、企業認証と同じく組織の実在性を証明します。
企業認証と異なる点は、組織の実在性だけでなく、その他に事業活動などの実在性も審査対象となり、
業界内の統一基準をクリアした企業だけが導入可能な証明書です。
この厳格な認証をクリアした証しとして、
EV SSL証明書では本物のサイトである証拠としてアクセス時にブラウザの
アドレスバーが緑色になると同時に、サイトの運営組織名が表示されます。
最近ではSSLサーバ証明書を利用した高度なフィッシングサイトも存在するため、
本物のサイトであることや運営者の実在性が誰にでも分かる仕組みが必要とされています。
アドレスバーが緑色になることは、EV SSL以外では実現できないため、
金融機関のような高い安全性が求められるサイトやセキュリティ対策の意識が高い
ECサイトなどで採用されるケースが増えてきています。
- SSL証明書比較
http://bridge-ssl.jp/comparison/
認証局毎にサーバ証明書の種類が比較されています。
SSL証明書比較・証明書格安取得なら「BridgeSSL」
貴社のWebサイトは安全ですか?SSL証明書で「安心と信頼の証」を
IPAが示す10大脅威の第1位は?
IPA(情報処理推進機構)に届けられるウイルス・不正アクセス・脆弱性に関する情報や、
一般に公開された情報を基に、情報セキュリティ分野における研究者や実務担当者等が
影響の大きいセキュリティ上の10大脅威を選び、利用者・管理者・開発者に向けて、
毎年公開されています。
IPAが示す2009年10大脅威の第1位は、
「DNSキャッシュポイズニングの脅威」です。
- DNSキャッシュポイズニング
DNSとは、Webサイトやメールの送受信などの際に、ドメイン名から接続先のIPアドレスを調べる仕組み。
「DNSキャッシュポイズニング」とは、DNSが偽りの応答を返してしまう攻撃手法で、
インターネット利用者が気付かないうちにフィッシングサイトに誘導されてしまったり、
本物のサイトへアクセスはされるが、途中でパスワードを搾取されたりするものがある。
DNSキャッシュポイズニングの脆弱性に関しては、
以前からIPAで詳細な情報や対策について提供されております。
昨日(2009年12月10日)にも新たに記事が追加されています。
http://www.ipa.go.jp/security/vuln/documents/2009/200912_dns.html
DNSへの攻撃はインターネットの根幹を脅かす恐れがあり、
有名な話では、2002年に13台のルートサーバへ一斉にDos攻撃が仕掛けられたこともあります。
今回はこのような脅威から守る技術の一つでDNSの安全性を語る上で最もホットな話題である
「DNSSEC」について取り上げたいと思います。
■DNSSECとは
DNSSECとは、DNSサーバから送られてくるドメインとそれに対応するIPアドレスの情報を
公開鍵暗号技術を用いることで信頼性を証明する仕組みです。
これにより、応答内容が改竄されていないことをチェックでき、
DNSキャッシュポイズニングなどの攻撃から防ぐことができます。
主要なTLDが2011年までにDNSSEC導入を表明しており、
ルートサーバーは2010年7月1日までに段階的な導入を完了する見通しとのことで、
なかなか実現されなかったDNSサーバのセキュリティ対策がついに本格化しそうです。
なお、実運用では以下のような課題が指摘されていますので、採用にはもう少し時間が掛かると思います。
それまでは、WebサーバとSSLサーバ証明書によるセキュリティ対策を講じることをお勧め致します。
SSL証明書比較・証明書格安取得なら「BridgeSSL」
貴社のWebサイトは安全ですか?SSL証明書で「安心と信頼の証」を
【参考資料】
情報セキュリティ白書2009 -10大脅威 攻撃手法の『多様化』が進む-
http://www.ipa.go.jp/security/vuln/10threats2009.html
情報セキュリティ白書2008 -10大脅威 ますます進む「見えない化」-
http://www.ipa.go.jp/security/vuln/20080527_10threats.html
情報セキュリティ白書2007 -10大脅威 「脅威の“見えない化”が加速する!」-
http://www.ipa.go.jp/security/vuln/20070309_ISwhitepaper.html
情報セキュリティ白書2006 -10大脅威「加速する経済事件化」と今後の対策-
http://www.ipa.go.jp/security/vuln/20060322_ISwhitepaper.html
