さくらの夕べ大阪 20140306 ファーストサーバセッション資料

レンタルサーバのセキュリティとSSL
～ユーザに説明できる正しい知識（ちょっと濃い目）～

2014年3月6日
ファーストサーバ株式会社

予定
• ファーストサーバのご紹介
• SSLについて
–
–
–
–
–

当社のサービスとSSL
情報セキュリティとSSLの基本
認証水準について
認証手続き
Webサーバの設定について

Copyright© 2014 Firstserver, Inc. All rights reserved.

1

ファーストサーバのご紹介


2

ファーストサーバについて
ファーストサーバ株式会社
大阪市中央区安土町1丁目8番15号
野村不動産大阪ビ
ル 3F
さくらインターネット様とは
堺筋本町駅を挟んでご近所です。


3

ファーストサーバについて
1996年
「クボタシステム開発株式会社」にて
レンタルサーバー事業を開
始
1999年9月
レンタルサーバーサービス
「ファーストサーバ」を開始
2000年6月
「ファーストサーバ株式会社」として
独立、営業活動を開始
2004年11月
ヤフー株式会社の子会社となる


4

2012年6月


大規模事故

5

ここまで来ました
日経コンピュータ2014年2月20日号

http://itpro.nikkeibp.co.jp/article/Watcher/20140214/536882/

6

宜しくお願いいたします。


7

SSLについて


8

ファーストサーバとSSL
2004年～2010年まで
RSA セキュリティのルート証明書を利用し
独自に認証局を運営しBIZCERTという証明書を
提供しておりました。

※2010年からはサイバートラスト社と提携し
SureServerをOEM提供


9

自己紹介
■小島健司

企画、営業、サポートなど何でも屋
「Web改ざん検知サービス」をレンタルサーバ業界で
初リリース。
Twitter: @nu_nrgist

個人的にクリエイターさんなどが集まる交流会
「関西メディコミ会」を主催してます。
http://medicomi.com/

10

自己紹介
■西口昌宏

プログラマ、社内LANの運用管理を経て、ファー
ストサーバでは技術サポート、DNS、デジタル証
明書業務に従事。
DNSやSSLが専門分野。
情報セキュリティスペシャリストだったりします
。
Twitter: @mahbo

11

当社のサービスとSSL


12

当社が提供するサービス
タイプ

サービス名称

サーバー
管理

コンテン
ツ
管理

SSL関連サービス

マネージド
共有サーバー

ビズ2

当社

お客様

サーバー証明書取得代行
サーバセキュア化サービス

マネージド
専用サーバー

エンタープライ
ズ3

当社

お客様

サーバー証明書取得代行

セルフマネージ
ド
専用サーバー

デルタ

お客様

お客様

シマンテック
サーバー証明書クーポン

SaaS

desknet’sHR

当社

お客様

共有SSL

PaaS

PHP Ninja
Node Ninja

当社

お客様

お客様

お客様

お客様

お客様

IaaS

Z Cloud


代表例です 13

当社のSSLサービス
認証局
種別

サービス

発行

Public

シマンテックEVサーバー証明書

VeriSign

シマンテックサーバー証明書
サイバートラストEVサーバー証明書

拡張認証
EV

発行対象

対象サービス

企業

https

企業
個人事業主

https

組織認証
OV
CyberTrust

サイバートラストサーバー証明書

BIZCERT

認証水準

拡張認証
EV
組織認証
OV

CyberTrust

組織認証
OV

ドメイン認証型サーバー証明書

https/smtps/pops/
ftps
GlobalSign

ドメイン認
証
DV

FirstServer

独自

ドメイン

https

サーバ契約者

https/ftps

共有SSL
Private

Firstserver Encryption Services
(FirstServer社内CA)


14

情報セキュリティとSSLの基本


15

情報セキュリティの3要素・6要素

機密性
責任追跡性

Confidentiality

Accountability

信頼性
Reliability

C.I.A
完全性

可用性

Integrity

Availability
真正性
Authenticity


16

SSLの機能
漏洩防止

機密性
Confidentiality

改竄防止

完全性
成りすまし防止

Integrity
真正性
Authenticity

17

信頼できる第三者機関
彼は消防署員
です

消防署の方
から来まし
た

本当なのね
本当かしら

TTP: Trusted Third Party


18

印鑑証明書とデジタル証明書
印章

印影

鯖

印鑑証明書

市役所

鯖
名前～
住所～
Bergmann

私有鍵

公開鍵


公開鍵証明書

認証局

19

印鑑証明書の発行
(2)

印鑑登録

鯖

名前～
住所～

Bergmann

(1)
印鑑証明書

鯖
名前～
住所～


20

印鑑証明書の利用

Bergmann

契約書

鯖
印鑑証明書

鯖
(3)

名前～
住所～

(4)

21

デジタル証明書の発行
(2)

証明書署名要求
名前～
住所～

(1)


22

デジタル証明書の利用
信頼できる認証局 (信頼点)

デジタルデータ

デジタル署
名

(3)
(4)

23

認証水準について


24

数々の「証明書」
正式・厳格

旅券
運転免許証
住民基本台帳カード
社員証
会員証

GPKI/LGPKI
パブリック認証局
EV
OV
DV (独自ドメイン名)
DV (共有SSL)

プライベート認証局
略式・カジュアル


25

認証水準
認証水準

認証基準

実在性確認

緑色のバー

拡張認証
(EV)

国際標準

○

○

組織認証
(OV)

各認証局(※)

○

×

ドメイン認証
各認証局(※)
(DV)

×

×

※パブリック認証局に必要な基本要件は有る (Baseline Requirements)


26

本当の相手は?
拡張認証 (EV)

会社や店

EXAMPLE.JP

組織認証 (OV)

ドメイン

ドメイン認証 (DV)

お客様

共有SSL

サーバ

プライベート

Robert.Harker

中の人

27

認証水準と各社証明書
拡張認証 EV

組織認証 OV
認証水準

高

CyberTrust

セキュア・サーバID EV

グローバル・サーバID

SureServer EV

低

セキュア・サーバID

グローバル・サーバID
EV

Symantec
(VeriSign)

ドメイン認証 DV

SureServer

(FirstServer)

BIZCERT
サーバセキュア化サービ
ス

GlobalSign

EV SSL

企業認証SSL

SECOM Trust
Systems

セコムパスポート for
Web EV

セコムパスポート for
Web SR

CrossTrust
StartSSL

クイック認証SSL

Enterprise SSL
StartSSL Extended


Crypto SSL

StartSSL Verified

StartSSL Free
28

改めて「オレオレ証明書」
第一種

• 不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もイ
ンストールさせるつもりのないもの。

第二種

• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をイ
ンストールするよう促しているが、インストール方法として安全な手段が用意さ
れていないもの。

第三種

• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をイ
ンストールするよう促しており、安全なインストール方法が用意されているもの。

第四種

• 特定の者だけに利用させることを想定しているもの。

第五種

• 正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認
証局がルートとして登録されていないもの。

第六種

• 正規の認証局（中間認証局）から取得したサーバ証明書であるが、中間認証局の
証明書をサーバに設置していないため、クライアントが認証パスを検証できない
もの。

プ
ラ
イ
ベ
ー
ト
認
証
局

パ
ブ
リ
ッ
ク
認
証
局

オレオレ証明書の区分改訂版 (C)高木浩光氏 http://takagi-hiromitsu.jp/diary/20051118.html

29

証明書の中身を見てみよう
Subject

組織認証 (OV) の一例

CN = www.fsv.jp
O = Firstserver, Inc.
L = Osaka-shi
S = Osaka
C = JP


SubjectAltName

DNS Name=www.fsv.jp

30

証明書の中身を見てみよう
Subject

ドメイン認証 (DV) の一例

CN = *.tongbi.jp

O(Organization)が無い


Subject

FirstServer社内CAの場合

E = info@fsv.jp
CN = www.example.jp
O = "Firstserver, Inc"
ST = Osaka
どれを書くかは自由
C = JP
31

認証手続き


32

ドメイン認証
• ドメインの管理や使用の権限を持つ者に確認
– WHOISの各担当者メールアドレス
• 登録者
Registrant
• 管理担当者 Administrative Contact
• 技術担当者 Technical Contact

– 一般的なメールアドレス
• admin@example.jp
• administrator@example.jp
• webmaster@example.jp
• hostmaster@example.jp
• postmaster@example.jp

• API

認証局により異なります
33

組織認証
• ドメイン名の利用権限
– WHOIS
– ドメイン認証

• 実在性
– 登記簿
– 第三者機関データベース
– 第三者機関の訪問または意見書など

• 商号/屋号
– 政府機関が提供する文書
– 政府機関とのメール記録
– 公共料金請求書、取引明細など

• 申請の真正性
– 組織を代表して申請しているか

認証局により異なります
34

WEBサーバの設定について


35

私有鍵の安全
• 漏洩しないこと
– パーミッション
• chmod 500 私有鍵ディレクトリ
• chmod 400 私有鍵ファイル

– パスフレーズを設定
• SSLPassPhraseDialog exec:/path/to/program
• #!/bin/sh
echo “パスフレーズ”
• chmod 500 /path/to/program

• 精度の良い乱数を使うこと
– 擬似乱数のSEED
• srand( time ^ $$ ^ unpack “%32L*”, `ps wwaxl | gzip` );
• UNIX時間、プロセスID、プロセス一覧の圧縮結果の排他的論理和
• 「Programing Perl Volume2」より


36

暗号強度

サーバ/ブラウザ間の
ネゴシエーション

Robert.Harker


37

Webサーバ設定
• TLS/SSLバージョン
– apache: SSLProtocol
– nginx: ssl_protocols

• 暗号スイート
– apache: SSLCipherSuite
– nginx: ssl_ciphers

• openssl ciphers -v ’HIGH:!ADH:!MD5’


38

SSLの無いネットなんて

(C)ゲーム日記帳


39

結論

デジタル証明書は
用途に合わせて使い分けましょう


40

最も弱い環の原則
A chain is no stronger than its weakest link
(鎖はいちばん弱い輪以上に強くなれない)


41

Tongbi
さくらインターネットのユーザ様にも使っていただきたい
無料のWEBサイトモニタリングサービスです。

http://tongbi.jp/
Respons Code
Respons Time
SSL Cert
か

http status codeが200か否か
http responsの応答時間が閾値を超えていないか
証明書の有効期限が閾値(30日前)をむかえていない


42

ご清聴ありがとうございました


43

さくらの夕べ大阪 20140306 ファーストサーバセッション資料

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (19)

Similaire à さくらの夕べ大阪 20140306 ファーストサーバセッション資料

Similaire à さくらの夕べ大阪 20140306 ファーストサーバセッション資料 (20)

Dernier

Dernier (7)