アーカイブ

「SSLサーバ設定状況等の調査」報告書の公開

公開日:2012年12月11日

最終更新日:2013年5月16日

独立行政法人情報処理推進機構
技術本部 セキュリティセンター

本ページの情報は2013年5月時点のものです。

SSLプロトコルが安全に機能していることを暗黙の前提としてインターネットを介したコンシューマ向け電子商取引市場が成り立っています。このような状況下においては、SSLプロトコルが安全に機能しているという前提が崩れた場合、多数の消費者が、無防備な状況下におかれていることにさえ気がつかずに、インターネットを介したサービスを利用し続ける可能性があります。
一方、SSLプロトコルは、技術的には相互接続を重視した汎用性をもつセキュリティプロトコルの一つであり、強固な暗号アルゴリズムから輸出規制に対応した弱い暗号アルゴリズムまでを包括しており、使用される暗号アルゴリズムの選択は、SSLサーバの設定により決定されることになっています。このことは、SSLサーバの設定如何によっては必ずしも強固な暗号アルゴリズムが使われないことが起こり得ることを示しています。

SSLプロトコルを制御するSSLサーバ設定に関する重要性が、SSLサーバの構築者・利用者に十分に認識され、適切なSSLサーバの設定状況になっているか否かを把握することは、SSLプロトコルが安全に機能しているのか、あるいは潜在的な脆弱性を含んでいるのかを認識するうえで重要な指標となります。

本調査では、主要なSSLサーバ及びSSLブラウザにおけるSSLプロトコルに用いられる暗号アルゴリズムの優先度のデフォルト設定(Cipher suiteの優先順位)の状況、並びにオンラインショッピング、インターネットバンキング、ネットトレードなどのサービスを行っているSSLサーバを主な対象として、以下の観点からのSSLサーバ設定の現状を調査・把握することを目的として実施されました。

  1. 安全性が不十分な暗号アルゴリズムが選択されないようになっているか
  2. 暗号アルゴリズムの世代交代(より安全性が高い暗号アルゴリズムが選択される)を意識した設定がなされているか
  3. SSLサーバ証明書で設定されている暗号アルゴリズムやハッシュ関数及び発行者等の設定情報について適切な運用がなされているか

本調査では、15種類の想定サーバ構成と38種類の想定クライアント環境について、サポートするCipher suiteの一覧とデフォルト設定時のCipher suiteの優先順位について調査しました。また、実際のSSLサーバの設定状況の調査では、金融系、物販系、非物販系の3業界について、合計300以上のSSLサーバに対して、想定サーバ構成を考慮したCipher suite個別の通信可否確認、及び想定クライアント環境において接続する際のCipher suiteを確認しました。
本調査の結果、CRYPTRECで推奨された共通鍵暗号アルゴリズム及びメッセージ認証のみで構成されたCipher suiteを利用可能な比率は低く、これらの利用可能な比率やEV-SSL証明書の利用状況などは、業界ごとに異なる結果となることがわかりました。特に、Windows XP環境において、推奨されていないCipher suiteを使って接続する率は、他のOSに比べて高くなっています。

調査報告書のダウンロード

実施者

  • 特定非営利活動法人 日本ネットワークセキュリティ協会

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター 神田/近澤

  • TEL

    03-5978-7550

  • E-mail

    isec-infoアットマークipa.go.jp

更新履歴

  • 2013年5月16日

    調査報告書付録掲載

  • 2012年12月11日

    掲載