公開日:2012年12月11日
最終更新日:2013年5月16日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター
本ページの情報は2013年5月時点のものです。
SSLプロトコルが安全に機能していることを暗黙の前提としてインターネットを介したコンシューマ向け電子商取引市場が成り立っています。このような状況下においては、SSLプロトコルが安全に機能しているという前提が崩れた場合、多数の消費者が、無防備な状況下におかれていることにさえ気がつかずに、インターネットを介したサービスを利用し続ける可能性があります。
一方、SSLプロトコルは、技術的には相互接続を重視した汎用性をもつセキュリティプロトコルの一つであり、強固な暗号アルゴリズムから輸出規制に対応した弱い暗号アルゴリズムまでを包括しており、使用される暗号アルゴリズムの選択は、SSLサーバの設定により決定されることになっています。このことは、SSLサーバの設定如何によっては必ずしも強固な暗号アルゴリズムが使われないことが起こり得ることを示しています。
SSLプロトコルを制御するSSLサーバ設定に関する重要性が、SSLサーバの構築者・利用者に十分に認識され、適切なSSLサーバの設定状況になっているか否かを把握することは、SSLプロトコルが安全に機能しているのか、あるいは潜在的な脆弱性を含んでいるのかを認識するうえで重要な指標となります。
本調査では、主要なSSLサーバ及びSSLブラウザにおけるSSLプロトコルに用いられる暗号アルゴリズムの優先度のデフォルト設定(Cipher suiteの優先順位)の状況、並びにオンラインショッピング、インターネットバンキング、ネットトレードなどのサービスを行っているSSLサーバを主な対象として、以下の観点からのSSLサーバ設定の現状を調査・把握することを目的として実施されました。
本調査では、15種類の想定サーバ構成と38種類の想定クライアント環境について、サポートするCipher suiteの一覧とデフォルト設定時のCipher suiteの優先順位について調査しました。また、実際のSSLサーバの設定状況の調査では、金融系、物販系、非物販系の3業界について、合計300以上のSSLサーバに対して、想定サーバ構成を考慮したCipher suite個別の通信可否確認、及び想定クライアント環境において接続する際のCipher suiteを確認しました。
本調査の結果、CRYPTRECで推奨された共通鍵暗号アルゴリズム及びメッセージ認証のみで構成されたCipher suiteを利用可能な比率は低く、これらの利用可能な比率やEV-SSL証明書の利用状況などは、業界ごとに異なる結果となることがわかりました。特に、Windows XP環境において、推奨されていないCipher suiteを使って接続する率は、他のOSに比べて高くなっています。
IPA セキュリティセンター 神田/近澤
TEL
03-5978-7550
2013年5月16日
調査報告書付録掲載
2012年12月11日
掲載