アーカイブ

  1. トップページ
  2. アーカイブ
  3. プレスリリース
  4. 2020年度
  5. プレス発表 サーバーの構築者、管理者等向けの「TLS暗号設定ガイドライン」を公開

プレス発表 サーバーの構築者、管理者等向けの「TLS暗号設定ガイドライン」を公開

TLS1.3の採用・SSL3.0の禁止を盛りこみ、TLSサーバーでの要求設定を全面改訂

2020年7月7日
独立行政法人情報処理推進機構

IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、2015年以降のSSL/TLS(脚注1)通信の規格化およびサポートの状況を踏まえ、2020年3月時点におけるTLS通信での安全性と相互接続性のバランスを考慮したウェブサーバーでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」を本日公開しました。

TLS暗号設定ガイドライン

各種インターネットサービスでは、安全に通信する仕組み(プロトコル)としてSSL/TLS通信が標準的に利用されています。そのSSL/TLS通信は1994年のプロトコル開発以来、その時々のセキュリティ対策を組み込んだ結果、複数のバージョンが作られてきました。よって、一口にSSL/TLS通信といっても、ウェブサーバーとブラウザーの設定次第で実現される安全性が異なるという問題がありました。

IPAではこれまでにSSL/TLS暗号設定ガイドラインを2版公開(脚注2) していますが、第2版の発行後、記載内容に大きく影響するSSL/TLS通信の規格化が相次いで行われ、改訂が望まれていました。

本日公開の「TLS暗号設定ガイドライン」は、前述の問題と技術環境の変化を反映させるため、暗号技術評価プロジェクトCRYPTREC(脚注3)が記載内容の全面的な見直しを行ったものです。サーバーの構築者および管理者、サーバーの構築を発注するシステム管理者を想定読者としています。

● ガイドラインの特長

  1. 2020年3月時点におけるTLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した、3つの設定基準(脚注4)を提示(別紙「安全性と相互接続性についての比較」参照)
  2. 設定基準に対応するプロトコルバージョン、サーバー証明書、暗号スイートの詳細な要求設定(脚注5)を提示。
  3. 要求設定に基づいたサーバー設定を支援するチェックリスト及び参考ガイドを用意。

● 従来の暗号設定ガイドライン(Ver.1、2)との差異

  1. TLS1.3の採用及びSSL3.0の禁止に伴い、一段高い安全性を各設定基準に要求
    既存のSSL/TLS暗号設定ガイドラインを利用している場合は、最新版の要求設定に基づいた見直しを行い、必要に応じた設定変更を推奨します。
    SSL/TLS暗号設定ガイドライン(version 1.x/2.x) 高セキュリティ型(TLS1.2) 推奨セキュリティ型(TLS1.2 ~ TLS1.0のいずれか)
    (PFSなしも推奨)    		 セキュリティ例外型(TLS1.2 ~ SSL3.0のいずれか)
    TLS暗号設定ガイドライン(version 3.x) 高セキュリティ型(TLS1.3(必須)及びTLS1.2(オプション)) 推奨セキュリティ型(TLS1.2(必須)及びTLS1.3(オプション))
    (PFSのみ推奨)    		 セキュリティ例外型(TLS1.3 ~ TLS1.0のいずれか)
  2. 要求設定において、従来の「遵守項目」に「推奨項目」を追加
    これまでの、必ず満たさなければならない「遵守項目」に加え、よりよい安全性を実現するために満たすことが望ましい「推奨項目」を追加しました。それは、サーバーによっては「遵守項目」であるにも関わらずその通りに設定できない事例が多数あり、こうしたケースを推奨項目と位置付けたためです。これにより現実的かつ実効性が高い要求設定が可能になります。
  3. チェックリスト及び参考ガイドの改訂
    • チェックリスト
      「選択した設定基準に対応した要求設定項目の設定忘れの防止」と「サーバー構築の作業受託先が適切に要求設定項目を設定したことを確認」するためのリストを改訂
    • 参考ガイド:サーバー設定編・暗号スイート設定編
      主要なオープンソースを利用したサーバーでの具体的な設定を支援するためのガイドで、見直された要求設定に準拠する具体的な設定方法を解説。

「TLS暗号設定ガイドライン」、「チェックリスト」、及び参考ガイド(「TLS暗号設定 サーバ設定編」と「TLS暗号設定 暗号スイート編」)は以下のURLからダウンロードできます。

TLS暗号設定ガイドライン

本ガイドライン、チェックリストおよび参考ガイドが広く活用され、ウェブサーバーで適切なTLS暗号設定が行われることにより、安全なインターネット社会の実現の一助となることを期待しています。

脚注

  • 脚注1 SSL(Secure Socket Layer )/TLS(Transport Layer Security):インターネット通信を暗号化する技術
  • 脚注2 ;2015年5月にVer.1、2018年5月Ver.2。
    TLS暗号設定ガイドライン
  • 脚注3 CRYPTREC(クリプトレック)総務省及び経済産業省が共同で運営する暗号技術検討会と、国立研究開発法人情報通信研究機構(NICT)及び独立行政法人情報処理推進機構(IPA)が共同で運営する暗号技術評価委員会及び、暗号技術活用委員会で構成される。
    CRYPTRECとは
  • 脚注4 「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」の区分け基準のこと
  • 脚注5 設定基準で選択した区分けに必要な、設定すべき具体的な要求事項のこと