アーカイブ
2020年7月7日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2015年以降のSSL/TLS(脚注1)通信の規格化およびサポートの状況を踏まえ、2020年3月時点におけるTLS通信での安全性と相互接続性のバランスを考慮したウェブサーバーでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」を本日公開しました。
各種インターネットサービスでは、安全に通信する仕組み(プロトコル)としてSSL/TLS通信が標準的に利用されています。そのSSL/TLS通信は1994年のプロトコル開発以来、その時々のセキュリティ対策を組み込んだ結果、複数のバージョンが作られてきました。よって、一口にSSL/TLS通信といっても、ウェブサーバーとブラウザーの設定次第で実現される安全性が異なるという問題がありました。
IPAではこれまでにSSL/TLS暗号設定ガイドラインを2版公開(脚注2) していますが、第2版の発行後、記載内容に大きく影響するSSL/TLS通信の規格化が相次いで行われ、改訂が望まれていました。
本日公開の「TLS暗号設定ガイドライン」は、前述の問題と技術環境の変化を反映させるため、暗号技術評価プロジェクトCRYPTREC(脚注3)が記載内容の全面的な見直しを行ったものです。サーバーの構築者および管理者、サーバーの構築を発注するシステム管理者を想定読者としています。
SSL/TLS暗号設定ガイドライン(version 1.x/2.x) | 高セキュリティ型(TLS1.2) | 推奨セキュリティ型(TLS1.2 ~ TLS1.0のいずれか) (PFSなしも推奨) |
セキュリティ例外型(TLS1.2 ~ SSL3.0のいずれか) |
TLS暗号設定ガイドライン(version 3.x) | 高セキュリティ型(TLS1.3(必須)及びTLS1.2(オプション)) | 推奨セキュリティ型(TLS1.2(必須)及びTLS1.3(オプション)) (PFSのみ推奨) |
セキュリティ例外型(TLS1.3 ~ TLS1.0のいずれか) |
「TLS暗号設定ガイドライン」、「チェックリスト」、及び参考ガイド(「TLS暗号設定 サーバ設定編」と「TLS暗号設定 暗号スイート編」)は以下のURLからダウンロードできます。
本ガイドライン、チェックリストおよび参考ガイドが広く活用され、ウェブサーバーで適切なTLS暗号設定が行われることにより、安全なインターネット社会の実現の一助となることを期待しています。