Upload
masahiro-nishiguchi
View
1.887
Download
2
Embed Size (px)
Citation preview
2014 年 3 月 6 日ファーストサーバ株式会社
レンタルサーバのセキュリティと SSL~ユーザに説明できる正しい知識(ちょっと濃い目)~
Copyright© 2014 Firstserver, Inc. All rights reserved.
予定
• ファーストサーバのご紹介• SSL について
– 当社のサービスと SSL– 情報セキュリティと SSL の基本– 認証水準について– 認証手続き– Web サーバの設定について
2
Copyright© 2014 Firstserver, Inc. All rights reserved. 3
ファーストサーバのご紹介
Copyright© 2014 Firstserver, Inc. All rights reserved. 4
ファーストサーバについて
ファーストサーバ株式会社
大阪市中央区安土町 1 丁目 8 番 15 号 野村不動産大阪ビル 3F
さくらインターネット様とは堺筋本町駅を挟んでご近所です。
Copyright© 2014 Firstserver, Inc. All rights reserved.
ファーストサーバについて
1996 年 「クボタシステム開発株式会社」にて レンタルサーバー事業を開始1999 年 9 月 レンタルサーバーサービス 「ファーストサーバ」を開始
2000 年 6 月 「ファーストサーバ株式会社」として 独立、営業活動を開始2004 年 11 月 ヤフー株式会社の子会社となる
5
Copyright© 2014 Firstserver, Inc. All rights reserved.
2012 年 6 月 大規模事故
6
Copyright© 2014 Firstserver, Inc. All rights reserved.
http://itpro.nikkeibp.co.jp/article/Watcher/20140214/536882/
日経コンピュータ 2014 年 2 月 20 日号
ここまで来ました
7
Copyright© 2014 Firstserver, Inc. All rights reserved.
宜しくお願いいたします。
8
Copyright© 2014 Firstserver, Inc. All rights reserved. 9
SSL について
Copyright© 2014 Firstserver, Inc. All rights reserved.
ファーストサーバと SSL
2004 年~ 2010 年までRSA セキュリティのルート証明書を利用し独自に認証局を運営し BIZCERT という証明書を提供しておりました。
※2010 年からはサイバートラスト社と提携し SureServer を OEM 提供
10
Copyright© 2014 Firstserver, Inc. All rights reserved.
自己紹介
■ 小島健司
企画、営業、サポートなど何でも屋「 Web 改ざん検知サービス」をレンタルサーバ業界で 初リリース。 Twitter: @nu_nrgist
個人的にクリエイターさんなどが集まる交流会 「関西メディコミ会」を主催してます。
http://medicomi.com/
11
Copyright© 2014 Firstserver, Inc. All rights reserved.
自己紹介
■ 西口 昌宏
プログラマ、社内 LAN の運用管理を経て、ファーストサーバでは技術サポート、 DNS 、デジタル証明書業務に従事。DNS や SSL が専門分野。情報セキュリティスペシャリストだったりします。Twitter: @mahbo
12
Copyright© 2014 Firstserver, Inc. All rights reserved.
当社のサービスと SSL
13
Copyright© 2014 Firstserver, Inc. All rights reserved. 14
当社が提供するサービスタイプ サービス名称 サーバー
管理コンテンツ管理
SSL 関連サービス
マネージド共有サーバー
ビズ 2 当社 お客様 サーバー証明書取得代行サーバセキュア化サービス
マネージド専用サーバー
エンタープライズ 3
当社 お客様 サーバー証明書取得代行サーバセキュア化サービス
セルフマネージド専用サーバー
デルタ お客様 お客様 シマンテック サーバー証明書クーポン
SaaS desknet’sHR 当社 お客様 共有 SSL
PaaS PHP NinjaNode Ninja
当社 お客様
お客様 お客様
IaaS Z Cloud お客様 お客様代表例です
Copyright© 2014 Firstserver, Inc. All rights reserved. 15
当社の SSL サービス認証局種別
サービス 発行 認証水準 発行対象 対象サービス
Public シマンテック EV サーバー証明書 VeriSign 拡張認証EV
企業 https
シマンテックサーバー証明書 組織認証OV
サイバートラスト EV サーバー証明書 CyberTrust 拡張認証EV
サイバートラストサーバー証明書 組織認証OV
BIZCERT CyberTrust 組織認証OV
企業個人事業主
https
サーバセキュア化サービス https/smtps/pops/ftps
ドメイン認証型サーバー証明書 GlobalSign ドメイン認証DV
ドメイン https
共有 SSL
Private Firstserver Encryption Services(FirstServer 社内 CA)
FirstServer 独自 サーバ契約者
https/ftps
Copyright© 2014 Firstserver, Inc. All rights reserved.
情報セキュリティと SSL の基本
16
Copyright© 2014 Firstserver, Inc. All rights reserved. 17
情報セキュリティの 3 要素・ 6 要素
機密性
完全性 可用性
Confidentiality
Integrity Availability
C.I.A責任追跡性Accountability
真正性Authenticity
信頼性Reliability
Copyright© 2014 Firstserver, Inc. All rights reserved. 18
SSL の機能
機密性
完全性
Confidentiality
Integrity
真正性Authenticity
漏洩防止
改竄防止
成りすまし防止
Copyright© 2014 Firstserver, Inc. All rights reserved. 19
信頼できる第三者機関
消防署の方から来まし
た本当かしら本当なのね
彼は消防署員です
TTP: Trusted Third Party
Copyright© 2014 Firstserver, Inc. All rights reserved.
印鑑証明書とデジタル証明書
20
印鑑証明書
鯖名前 ~住所 ~
印章 印影
私有鍵 公開鍵 公開鍵証明書
鯖
鯖Bergmann
市役所
市長之印
認証局
Copyright© 2014 Firstserver, Inc. All rights reserved. 21
印鑑証明書の発行
Bergmann
印鑑証明書
鯖名前 ~住所 ~ 市長之印
印鑑登録
鯖名前 ~住所 ~
(1)
(2)
Copyright© 2014 Firstserver, Inc. All rights reserved. 22
印鑑証明書の利用
Bergmann
契約書
鯖印鑑証明書
鯖名前 ~住所 ~ 市長之印
(3)
(4)
Copyright© 2014 Firstserver, Inc. All rights reserved. 23
デジタル証明書の発行
証明書署名要求名前 ~住所 ~
(1)
(2)
Copyright© 2014 Firstserver, Inc. All rights reserved. 24
デジタル証明書の利用
デジタルデータ
デジタル署名
(3)(4)
信頼できる認証局 ( 信頼点 )
Copyright© 2014 Firstserver, Inc. All rights reserved.
認証水準について
25
Copyright© 2014 Firstserver, Inc. All rights reserved.
数々の「証明書」
旅券運転免許証住民基本台帳カード
社員証会員証
GPKI/LGPKIパブリック認証局
EVOVDV ( 独自ドメイン名 )DV ( 共有 SSL)
プライベート認証局
26
正式・厳格
略式・カジュアル
Copyright© 2014 Firstserver, Inc. All rights reserved.
認証水準
認証水準 認証基準 実在性確認 緑色のバー
拡張認証 (EV)
国際標準 ○ ○
組織認証 (OV)
各認証局 ( )※ ○ ×
ドメイン認証 (DV)
各認証局 ( )※ × ×
27
※パブリック認証局に必要な基本要件は有る (Baseline Requirements)
Copyright© 2014 Firstserver, Inc. All rights reserved.
本当の相手は ?
28
EXAMPLE.JP
Robert.Harker
サーバ
ドメイン
会社や店 組織認証 (OV)
ドメイン認証 (DV)
プライベート
拡張認証 (EV)
共有 SSL
お客様
中の人
Copyright© 2014 Firstserver, Inc. All rights reserved. 29
認証水準と各社証明書拡張認証 EV 組織認証 OV ドメイン認証 DV
高低
Symantec(VeriSign)
セキュア・サーバ ID EV セキュア・サーバ ID
グローバル・サーバ ID EV
グローバル・サーバ ID
CyberTrust SureServer EV SureServer
(FirstServer) BIZCERTサーバセキュア化サービス
GlobalSign EV SSL 企業認証 SSL クイック認証 SSL
SECOM Trust Systems
セコムパスポート for Web EV
セコムパスポート for Web SR
CrossTrust Enterprise SSL Crypto SSL
StartSSL StartSSL Extended StartSSL Verified StartSSL Free
認証水準
Copyright© 2014 Firstserver, Inc. All rights reserved. 30
改めて「オレオレ証明書」• 不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もイ
ンストールさせるつもりのないもの。第一種
• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しているが、インストール方法として安全な手段が用意されていないもの。
第二種
• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。
第三種
•特定の者だけに利用させることを想定しているもの。第四種
• 正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認証局がルートとして登録されていないもの。第五種
• 正規の認証局(中間認証局)から取得したサーバ証明書であるが、中間認証局の証明書をサーバに設置していないため、クライアントが認証パスを検証できないもの。
第六種
オレオレ証明書の区分 改訂版 (C)高木浩光氏 http://takagi-hiromitsu.jp/diary/20051118.html
プライベー
ト認証局
パブリッ
ク認証局
Copyright© 2014 Firstserver, Inc. All rights reserved. 31
証明書の中身を見てみよう
Subject SubjectAltName
CN = www.fsv.jpO = Firstserver, Inc.L = Osaka-shiS = OsakaC = JP
DNS Name=www.fsv.jp
組織認証 (OV) の一例
Copyright© 2014 Firstserver, Inc. All rights reserved.
証明書の中身を見てみよう
Subject Subject
32
CN = *.tongbi.jp
E = [email protected] = www.example.jpO = "Firstserver, Inc"ST = OsakaC = JP
ドメイン認証 (DV) の一例 FirstServer 社内 CA の場合
O(Organization) が無い どれを書くかは自由
Copyright© 2014 Firstserver, Inc. All rights reserved.
認証手続き
33
Copyright© 2014 Firstserver, Inc. All rights reserved.
ドメイン認証
• ドメインの管理や使用の権限を持つ者に確認– WHOIS の各担当者メールアドレス
• 登録者 Registrant• 管理担当者 Administrative Contact• 技術担当者 Technical Contact
–一般的なメールアドレス• [email protected]• [email protected]• [email protected]• [email protected]• [email protected]
• API34
認証局により異なります
Copyright© 2014 Firstserver, Inc. All rights reserved.
組織認証• ドメイン名の利用権限
– WHOIS– ドメイン認証
• 実在性– 登記簿– 第三者機関データベース– 第三者機関の訪問または意見書など
• 商号 / 屋号– 政府機関が提供する文書– 政府機関とのメール記録– 公共料金請求書、取引明細など
• 申請の真正性– 組織を代表して申請しているか
35
認証局により異なります
Copyright© 2014 Firstserver, Inc. All rights reserved.
WEB サーバの設定について
36
Copyright© 2014 Firstserver, Inc. All rights reserved. 37
私有鍵の安全• 漏洩しないこと
– パーミッション• chmod 500 私有鍵ディレクトリ• chmod 400 私有鍵ファイル
– パスフレーズを設定• SSLPassPhraseDialog exec:/path/to/program• #!/bin/sh
echo “パスフレーズ”• chmod 500 /path/to/program
• 精度の良い乱数を使うこと– 擬似乱数の SEED
• srand( time ^ $$ ^ unpack “%32L*”, `ps wwaxl | gzip` );• UNIX時間、プロセス ID 、プロセス一覧の圧縮結果の排他的論理和• 「 Programing Perl Volume2 」より
Copyright© 2014 Firstserver, Inc. All rights reserved.
暗号強度
38
Robert.Harker
サーバ /ブラウザ間のネゴシエーション
Copyright© 2014 Firstserver, Inc. All rights reserved.
Web サーバ設定
• TLS/SSL バージョン– apache: SSLProtocol– nginx: ssl_protocols
• 暗号スイート– apache: SSLCipherSuite– nginx: ssl_ciphers
• openssl ciphers -v ’HIGH:!ADH:!MD5’
39
Copyright© 2014 Firstserver, Inc. All rights reserved.
SSL の無いネットなんて
40
(C)ゲーム日記帳
Copyright© 2014 Firstserver, Inc. All rights reserved.
結論
デジタル証明書は用途に合わせて使い分けましょう
41
Copyright© 2014 Firstserver, Inc. All rights reserved.
最も弱い環の原則
A chain is no stronger than its weakest link(鎖はいちばん弱い輪以上に強くなれない )
42
Copyright© 2014 Firstserver, Inc. All rights reserved.
Tongbi
さくらインターネットのユーザ様にも使っていただきたい無料の WEB サイトモニタリングサービスです。
43
http://tongbi.jp/
Respons Code http status code が 200か否かRespons Time http respons の応答時間が閾値を超えていないかSSL Cert 証明書の有効期限が閾値 (30 日前 ) をむかえていないか
Copyright© 2014 Firstserver, Inc. All rights reserved.
ご清聴ありがとうございました
44
45