各種インターネットサービスでは、安全に通信する仕組み(プロトコル)としてSSL/TLS通信が標準的に利用されています。そのSSL/TLS通信は1994年のプロトコル開発以来、その時々のセキュリティ対策を組み込んだ結果、複数のバージョンが作られてきたという経緯がある。これにより、一口にSSL/TLS通信といっても、ウェブサーバーとブラウザーの設定次第で実現される安全性が異なるという問題があった。
IPAではこれまでにSSL/TLS暗号設定ガイドラインを2版公開(*2)しているが、第2版の発行後、記載内容に大きく影響するSSL/TLS通信の規格化が相次いで行われ、改訂が望まれていた。
この度公開した「TLS暗号設定ガイドライン」は、前述の問題と技術環境の変化を反映させるため、暗号技術評価プロジェクトCRYPTREC(*3)が記載内容の全面的な見直しを行っている。
尚、本ガイドラインはサーバーの構築者および管理者、サーバーの構築を発注するシステム管理者を想定読者として作成されている。
- ● ガイドラインの特長
- 2020年3月時点におけるTLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した、3つの設定基準(*4)を提示。
- 設定基準に対応するプロトコルバージョン、サーバー証明書、暗号スイートの詳細な要求設定(*5)を提示。
- 要求設定に基づいたサーバー設定を支援するチェックリスト及び参考ガイドを用意。
- ● 従来の暗号設定ガイドライン(Ver.1、2)との差異
-
- TLS1.3の採用及びSSL3.0の禁止に伴い、一段高い安全性を各設定基準に要求
- 既存のSSL/TLS暗号設定ガイドラインを利用している場合は、最新版の要求設定に基づいた見直しを行い、必要に応じた設定変更を推奨する。
-
- 要求設定において、従来の「遵守項目」に「推奨項目」を追加
- これまでの、必ず満たさなければならない「遵守項目」に加え、よりよい安全性を実現するために満たすことが望ましい「推奨項目」を追加。
それは、サーバーによっては「遵守項目」であるにも関わらず、その通りに設定できない事例が多数あり、こうしたケースを推奨項目と位置付けたためである。これにより現実的かつ実効性が高い要求設定が可能になる。
-
- チェックリスト及び参考ガイドの改訂
-
- ・チェックリスト
- 「選択した設定基準に対応した要求設定項目の設定忘れの防止」と「サーバー構築の作業受託先が適切に要求設定項目を設定したことを確認」するためのリストを改訂。
- ・参考ガイド:サーバー設定編・暗号スイート設定編
- 主要なオープンソースを利用したサーバーでの具体的な設定を支援するためのガイドで、見直された要求設定に準拠する具体的な設定方法を解説。
-
「TLS暗号設定ガイドライン」、「チェックリスト」、及び参考ガイド(「TLS暗号設定 サーバ設定編」と「TLS暗号設定 暗号スイート編」)は以下のURLからダウンロードできます。
URL:https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html
本ガイドライン、チェックリストおよび参考ガイドが広く活用され、ウェブサーバーで適切なTLS暗号設定が行われることにより、安全なインターネット社会の実現の一助となることをIPAでは期待している。
