SSLサイトの安全性評価チェック

カスガ カスガ 2016.08.08

機密情報を取り扱う多くのサイトでは、情報の漏洩や改ざんを防ぐために、データを暗号化して通信する「SSL(Secure Socket Layer)」の仕組みが利用されています。
このSSLは、URLが「https」から始まるページで使われています。
 
では、利用するサイトがSSLを使用している場合、通信データの漏洩は全く起こらないのでしょうか?
実はそうでもない場合があります。
 
Webサーバに正しいSSLサーバ証明書が導入されていても、設定が正しく行われていなかったり、サーバのアプリケーションや暗号化技術が古かったりすると、大切な情報がサーバから流出してしまう場合があります。
このような事を防ぐため、サイト運営者は、定期的な安全性のチェックが必要になります。
 

SSLサイトの安全性診断サービス

それではSSLサイトの安全性のチェックは、どのように行えばよいでしょうか?
いくつか方法がありますが、有名なものとして米国のQualys社が提供するサービスがあります。
そのサービスは、こちらになります。
 

SSL Server Test

https://www.ssllabs.com/ssltest/

 
このサービスは無料で利用でき、指定したSSLサイトの安全性や、そのサイトにどのような問題点があるかをなどを確認する事ができます。
 
SSL Server Test 1
 

「SSL Server Test」の利用方法

利用方法はとても簡単です。
次の手順ですぐにSSLサイトの安全性検査を行う事ができます。
 
1.「Hostname」の入力欄に、SSLを利用しているサイトの「ホスト名」を入力します。

ホスト名は、URLの「https://」より後ろから、最初のスラッシュ(/)までの部分になります。
例えば「Amazon」の人気度ランキングのURLを見てみると、https://www.amazon.co.jp/gp/movers-and-shakersとなっていますので、ホスト名は「www.amazon.co.jp」になります。

2.次に、必要に応じて「Do not show the results on the boards」にチェックを入れます。

これにチェックを入れると、「SSL Server Test」のトップに最近チェックされたサイトのリストがあるのですが、そちらにサイト名と検査結果のグレードが出ないようになります。

3.最後に、「submit」ボタンを押して、検査を開始します。
 

評価結果について

SSL Server Testは、以下の点数をもとに、100点満点で採点します。

・Certificate(証明書)

・Protocol Support(サポートされているプロトコル)

・Key Exchange(鍵交換)

・Cipher Strength(暗号強度)

 
検査の総合評価は、その採点結果を元に、A( A+, A, A-), B, C, D, E, F の8段階のグレードで表示されます。
場合によっては、Err(接続エラー)、T(信頼できないサーバ証明書が利用されている) といった評価が出る事もあります。
 
以下は、問題ないサイトの診断結果です。
SSL Server Test 2
 
続いて、脆弱性があるサイトの診断結果です。
SSL Server Test 3
 
総合評価の下にある色が付いた枠は、次の意味を示したものになります。

ピンク 直ちに解決した方が良い重大な問題の警告。
オレンジ できれば解決したほうが良いとされる問題の警告。
グリーン 推奨する対策が実装済。

 
弊社が環境構築し、運用管理を行っているサイトの評価を調べてみた所、次の通りとなりました。
現在の所は問題がないようなので、ひとまず安心しました。
SSL Server Test 4
 


GoogleやFacebook、Twitterなどのサービスは、常時SSLを採用するようになりました。
また、Apple社も、2017年以降、iOSアプリからWebに接続する際は、HTTPS接続を行わなくてはならないという事を義務づけました。
いつか常時SSLの対応が当たり前となる日が、来るかも知れません。
 
SSL/TLS暗号化通信は今や無くてはならない技術です。
サービスを提供する側としては、しっかりと押さえておきたい所です。

スポンサーリンク

POPULAR

カスガ

書いた人

カスガ