SSL/TLS 暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査検討調査報告書別紙 1 本文に係る改訂案 2018 年 6 月

Size: px

Start display at page:

Download "SSL/TLS 暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査検討調査報告書別紙 1 本文に係る改訂案 2018 年 6 月"

かずしわしあし
4 years ago
Views:

1 SSL/TLS 暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査検討調査報告書別紙 1 本文に係る改訂案 2018 年 6 月

2 目次 SSL/TLS 暗号設定ガイドライン本文改訂案... 1 I. 本文に係る記述のアップデート SSL/TLS の歴史... 1 新規 TLS1.3 の特徴... 4 新規 TLS プロトコルの最新動向 CRYPTREC 暗号リスト異なる暗号アルゴリズムにおける安全性の見方実現すべき設定基準の考え方サーバ証明書で利用すべき鍵長サーバ証明書の有効期間に関する注意点暗号スイートで利用可能な候補となる暗号アルゴリズム DHE/ECDHE での鍵長の設定状況についての注意サーバ証明書での脆弱な鍵ペアの使用の回避 HTTP Strict Transport Security(HSTS) の設定有効化 OCSP Stapling の設定有効化 Public Key Pinning の設定有効化本ガイドラインが対象とするブラウザ P 対象とするプラットフォーム P 対象とするブラウザのバージョン設定に関する確認項目 P 設定項目設定項目を標準機能で提供していないブラウザ P 設定項目設定項目を標準機能で提供しているブラウザ鍵長 1024 ビット SHA-1 を利用するサーバ証明書の警告表示 SSL3.0 の取り扱い新規 RC4 と TripleDES の取り扱い II. コラムに係る記述のアップデート III. 付録脚注に係る記述のアップデート別紙 1-i

3 別紙 1-ii

4 SSL/TLS 暗号設定ガイドライン本文改訂案 I. 本文に係る記述のアップデート本文に係る記述の改訂案を SSL/TLS ガイドライン v1.1 の節項の昇順に示す記載例は以下のとおりである改訂前改訂前の SSL/TLS ガイドライン v1.1 の記述である改訂する箇所を黄色いマーカーで示す改訂後 SSL/TLS 暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査検討報告書 ( 以下報告書 ) の調査結果を受けて作成した改訂案である改訂した箇所を水色のマーカーで示す SSL/TLS ガイドライン v1.1 の記述から差分が発生し改訂が必要であると判断した調査結果の報告書の項番を調査根拠として示すなお本改訂案には本ガイドラインの公開時点 (2015 年 5 月 ) という記述に関する改訂案は含まないこととする SSL/TLS の歴史 P9 表 2 SSL/TLS のバージョン概要改訂前バージョン概要 SSL2.0 いくつかの脆弱性が発見されておりなかでもダウングレード攻撃 ( 最弱のアルゴ (1994) リズムを強制的に使わせることができる ) とバージョンロールバック攻撃(SSL2.0 を強制的に使わせることができる ) は致命的な脆弱性といえる SSL2.0 は利用すべきではなく実際に 2005 年頃以降に出荷されているサーバやブラウザでは SSL2.0 は初期状態で利用不可となっている SSL3.0 SSL2.0 での脆弱性に対処したバージョン (RFC6101) 2014 年 10 月に POODLE 1 攻撃が発表されたことにより特定の環境下での CBC モード (1995) の利用は危険であることが認識されている POODLE 攻撃は SSL3.0 におけるパディングチェックの仕方の脆弱性に起因しているためこの攻撃に対する回避策は現在のところ存在していない POODLE 攻撃の発表を受け必要に応じてサーバやブラウザの設定を変更し SSL3.0 を無効化にするよう注意喚起されている 2 TLS 年 3 月時点ではもっとも広く実装されているバージョンであり実装率はほ 1 POODLE: Padding Oracle On Downgraded Legacy Encryption 2 SSL3.0 の脆弱性対策について別紙 1-1

5 バージョン概要 (RFC2246) ぼ 100% (1999) ブロック暗号を CBC モードで利用した時の脆弱性を利用した攻撃 (BEAST 攻撃など ) が広く知られているが容易な攻撃回避策が存在しすでにセキュリティパッチも提供されているまた SSL3.0 で問題となった POODLE 攻撃はプロトコルの仕様上 TLS1.0 には適用できない暗号スイートとしてより安全なブロック暗号の AES と Camellia 並びに公開鍵暗号署名に楕円曲線暗号が利用できるようになった秘密鍵の生成などに擬似乱数関数を採用 MAC の計算方法を HMAC に変更 TLS1.1 ブロック暗号を CBC モードで利用した時の脆弱性を利用した攻撃 (BEAST 攻撃等 ) (RFC4346) への対策を予め仕様に組み入れるなど TLS1.0 の安全性強化を図っている (2006) 実装に関しては規格化された年が TLS1.2 とあまり変わらなかったため TLS1.1 と TLS1.2 は同時に実装されるケースも多く 2015 年 3 月時点でのサーバやブラウザ全体における実装率は約 50% TLS1.2 暗号スイートとしてより安全なハッシュ関数 SHA-256 と SHA-384 CBC モードよ (RFC5246) り安全な認証付暗号利用モード (GCM CCM) が利用できるようになった特に (2008) 認証付暗号利用モードでは利用するブロック暗号が同じであっても CBC モードの脆弱性を利用した攻撃 (BEAST 攻撃等 ) がそもそも適用できない必須の暗号スイートを TLS_RSA_WITH_AES_128_CBC_SHA に変更 IDEA と DES を使う暗号スイートを削除擬似乱数関数の構成を MD5/SHA-1 ベースから SHA-256 ベースに変更本格的に実装が始まったのは最近であり 2015 年 3 月時点でのサーバやブラウザ全体における実装率は約 55% 改訂後バージョン概要 SSL2.0 いくつかの脆弱性が発見されておりなかでもダウングレード攻撃 ( 最弱のアル (1994) ゴリズムを強制的に使わせることができる ) とバージョンロールバック攻撃 (SSL2.0 を強制的に使わせることができる ) は致命的な脆弱性といえる SSL2.0 は利用すべきではなく実際に 2005 年頃以降に出荷されているサーバやブラウザでは SSL2.0 は初期状態で利用不可となっている SSL3.0 SSL2.0 での脆弱性に対処したバージョン (RFC6101) 2014 年 10 月に POODLE 3 攻撃が発表されたことにより特定の環境下での CBC モー (1995) ドの利用は危険であることが認識されている POODLE 攻撃は SSL3.0 におけるパ 3 POODLE: Padding Oracle On Downgraded Legacy Encryption 別紙 1-2

6 バージョン TLS1.0 (RFC2246) (1999) TLS1.1 (RFC4346) (2006) TLS1.2 (RFC5246) (2008) TLS1.3 (draft23) 概要ディングチェックの仕方の脆弱性に起因しているためこの攻撃に対する回避策は現在のところ存在していない POODLE 攻撃の発表を受け必要に応じてサーバやブラウザの設定を変更し SSL3.0 を無効化にするよう注意喚起されている年 3 月時点ではもっとも広く実装されているバージョンであり実装率はほぼ 88% ブロック暗号を CBC モードで利用した時の脆弱性を利用した攻撃 (BEAST 攻撃など ) が広く知られているが容易な攻撃回避策が存在しすでにセキュリティパッチも提供されているまた SSL3.0 で問題となった POODLE 攻撃はプロトコルの仕様上 TLS1.0 には適用できない暗号スイートとしてより安全なブロック暗号の AES と Camellia 並びに公開鍵暗号署名に楕円曲線暗号が利用できるようになった秘密鍵の生成などに擬似乱数関数を採用 MAC の計算方法を HMAC に変更ブロック暗号を CBC モードで利用した時の脆弱性を利用した攻撃 (BEAST 攻撃等 ) への対策を予め仕様に組み入れるなど TLS1.0 の安全性強化を図っている実装に関しては規格化された年が TLS1.2 とあまり変わらなかったため TLS1.1 と TLS1.2 は同時に実装されるケースも多く 2018 年 3 月時点でのサーバにおける実装率は約 85% 暗号スイートとしてより安全なハッシュ関数 SHA-256 と SHA-384 CBC モードより安全な認証付暗号利用モード (GCM CCM) が利用できるようになった特に認証付暗号利用モードでは利用するブロック暗号が同じであっても CBC モードの脆弱性を利用した攻撃 (BEAST 攻撃等 ) がそもそも適用できない必須の暗号スイートを TLS_RSA_WITH_AES_128_CBC_SHA に変更 IDEA と DES を使う暗号スイートを削除擬似乱数関数の構成を MD5/SHA-1 ベースから SHA-256 ベースに変更本格的に実装が始まったのは最近であり 2018 年 3 月時点でのサーバにおける実装率は約 91% 共通鍵暗号は認証付き暗号 :AEAD(Authenticated Encryption with Associated Data) のみ採用した結果 AES GCM/CCM と ChaCha20-Poly1305 のみになった鍵交換は DHE/ECDHE のみで楕円曲線を指定した署名は RSA-PSS RSASSA-PKCS1-v1_5 ecdsa_secp256r1 が必須になったハッシュは SHA-256 以上になった 4 SSL3.0 の脆弱性対策について別紙 1-3

7 バージョン概要ハンドシェイク性能の向上のため 1-RTT 0-RTT(Round Trip Time) になるようにシーケンスが簡素化されたハンドシェイクのデータを暗号化して保護した TLS1.2 互換に配慮し ClientHello ServerHello ChangeCipherSpec が規定されたまだ draft であるがサーバやブラウザで実装が始まっている 4.11(1) (2.1.1 節 )SSL/TLS の各バージョンでのサーバ及びブラウザでの実装状況新規 TLS1.3 の特徴改訂前なし改訂後 TLS1.3 は TLS1.2 策定以降に見つかった新たな脆弱性や攻撃手法への対策を施すと共に QUICK などのプロトコルに対応するための性能向上を狙いとしてプロトコルとアルゴリズムの抜本的な再設計が行われた TLS1.2 との互換性などの課題があり 2018 年 1 月現在標準化作業は続いている 2018 年 1 月現在の最新仕様は draft23 である TLS1.2 との差異の観点から見た主な特徴を以下に示す (1) 脆弱なアルゴリズムとして TripleDES DSA RC4 MD5 SHA-1 SHA- 224 静的な RSA が削除されたまた認証付き暗号 (AEAD) でない AES の CBC モードが削除された (2) NIST 規定でないアルゴリズムとして共通鍵暗号の ChaCha20 と署名の EdDSA が追加された (3) 鍵交換は DHE ECDHE が必須になった楕円曲線として secp256r1 が必須になった (4) 脆弱なハンドシェイク機能としてリニゴーシエーション圧縮セッション回復が削除された (5) ServerHello 以降のハンドシェイクパラメータを暗号化して保護する (6) HMAC ベースの導出関数を使った鍵導出に変更された (7) 性能向上のため 1-RTT でハンドシェイクが完了するようにメッセージおよび拡張が見直された (8) QUICK 等の上位アプリへの適用を考慮し 0-RTT でアプリデータを送信する機能が追加された別紙 1-4

8 (9) ClientHello ServerHello ChangeCipherSpec の TLS1.2 互換性を保つことにより中間ノードによる接続性を向上した 4.11(1) 新規 TLS プロトコルの最新動向改訂前なし改訂後 2015 年 5 月以降に発行された SSL/TLS に関する RFC の一覧である TLS1.3 が規格化されているところだが既存の TLS1.2 までのプロトコルに対して SSL3.0 の無効化や RC4 の無効化などプロトコルの脆弱性の排除に関するものが規格化されている RFC タイトル概要 7465 Prohibiting RC4 Cipher Suites RC4 を含む暗号スイートの禁止 7507 TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks SSL/TLS プロトコルのダウングレード攻撃を防ぐための TLS Fallback Signaling Cipher Suite Value (SCSV) 暗号スイートの追加 7525 Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS) SSL2 SSL3 リニゴーシエーションの禁止 TLS1.0 TLS1.1 リニゴーシエーションの非推奨 7568 Deprecating Secure Sockets Layer SSL3 の禁止 Version ChaCha20-Poly1305 Cipher Suites for Transport Layer Security (TLS) ChaCha20-Poly1305 を含む暗号スイートの追加 4.11(2) CRYPTREC 暗号リスト改訂前政府機関の情報セキュリティ対策のための統一基準( 平成 26 年度版 ) ( 平成 26 年 5 月 19 日情報セキュリティ政策会議 ) では以下のように記載されており政府機関における情報システムの調達及び利用において CRYPTREC 暗号リストのうち電子政府推奨暗号リストが原則的に利用される政府機関の情報セキュリティ対策のための統一基準 ( 抄 ) 暗号電子署名 - 遵守事項 (1)(b) 別紙 1-5

9 情報システムセキュリティ責任者は暗号技術検討会及び関連委員会 (CRYPTREC) により安全性及び実装性能が確認された電子政府推奨暗号リストを参照した上で情報システムで使用する暗号及び電子署名のアルゴリズム及び運用方法について以下の事項を含めて定めること ( ア ) 行政事務従事者が暗号化及び電子署名に対して使用するアルゴリズムについて電子政府推奨暗号リストに記載された暗号化及び電子署名のアルゴリズムが使用可能な場合にはそれを使用させること ( イ ) 情報システムの新規構築又は更新に伴い暗号化又は電子署名を導入する場合にはやむを得ない場合を除き電子政府推奨暗号リストに記載されたアルゴリズムを採用すること ( 以下略 ) 改訂後政府機関の情報セキュリティ対策のための統一基準( 平成 28 年度版 ) ( 平成 28 年 8 月 31 日 ) では以下のように記載されており政府機関における情報システムの調達及び利用において CRYPTREC 暗号リストのうち電子政府推奨暗号リストが原則的に利用される政府機関の情報セキュリティ対策のための統一基準 ( 抄 ) 暗号電子署名 - 遵守事項 (1)(b) 情報システムセキュリティ責任者は暗号技術検討会及び関連委員会 (CRYPTREC) により安全性及び実装性能が確認された電子政府推奨暗号リストを参照した上で情報システムで使用する暗号及び電子署名のアルゴリズム並びにそれを利用した安全なプロトコル及びその運用方法について以下の事項を含めて定めること ( ア ) 行政事務従事者が暗号化及び電子署名に対して使用するアルゴリズム及びそれを利用した安全なプロトコルについて電子政府推奨暗号リストに記載された暗号化及び電子署名のアルゴリズムが使用可能な場合にはそれを使用させること ( イ ) 情報システムの新規構築又は更新に伴い暗号化又は電子署名を導入する場合にはやむを得ない場合を除き電子政府推奨暗号リストに記載されたアルゴリズム及びそれを利用した安全なプロトコルを採用すること ( 以下略 ) 異なる暗号アルゴリズムにおける安全性の見方 P12 NIST SP Part 1 Revision 3 改訂前別紙 1-6

10 例えば NIST SP Part 1 revision 3 5 では表 3 のように規定している改訂後例えば NIST SP Part 1 revision 4 6 では表 3 のように規定している実現すべき設定基準の考え方 P16 表 4 安全性と相互接続性についての比較改訂前設定基準概要安全性相互接続性の確保高セキュリテ扱う情報が漏えいした際組織の運営本ガイドライン最近提供され始めィ型や資産個人の資産やプライバシー等の公開時点たバージョンのに致命的または壊滅的な悪影響を及ぼ (2015 年 5 月 ) OS やブラウザがすと予想される情報を極めて高い安において標準搭載されている全性を確保して SSL/TLS で通信するよ的な水準を大き PC スマートフォうな場合に採用する設定基準く上回る高い安ンでなければ接続全性水準を達成できない可能性がとりわけ高い安全性を必要とする明高い確な理由があるケースを対象としており非常に高度で限定的な使い方をすまた PC スマーる場合の設定基準である一般的な利トフォン以外で用形態で使うことは想定していないは最新の機器であっても一部の機 < 利用例 > 器について接続で政府内利用 (G2G 型 ) のなかでも限きない可能性があ定された接続先に対してとりわけ高るい安全性が要求される通信を行う場合推奨扱う情報が漏えいした際組織の運営本ガイドライン本ガイドラインでセキュリティや資産個人の資産やプライバシー等の公開時点対象とするブラウ型に何らかの悪影響を及ぼすと予想され (2015 年 5 月 ) ザ (8.1.2 節 ) が搭る情報を安全性確保と利便性実現をにおける標準的載されているバランスさせて SSL/TLS での通信を行な安全性水準を PC スマートフォうための標準的な設定基準実現ンなどでは問題な 5 NIST SP800-57, Recommendation for Key Management Part 1: General (Revision 3) 6 NIST SP800-57, Recommendation for Key Management Part 1: General (Revision 4) 別紙 1-7

11 設定基準概要安全性相互接続性の確保ほぼすべての一般的な利用形態で使く相互接続性を確うことを想定している保できる < 利用例 > 本ガイドラインが政府内利用 (G2G 型 ) や社内システ対象としないバムへのリモートアクセスなど特定ージョンが古いされた通信相手との安全な通信が要 OS やブラウザの求される場合場合や発売開始か電子申請など企業国民と役所等らある程度の年月との電子行政サービスを提供する場が経過している一合部の古い機器 ( フ金融サービスや電子商取引サービィーチャーフォンス多様な個人情報の入力を必須とやゲーム機など ) するサービス等を提供する場合については接続で既存システムとの相互接続を考慮すきない可能性があることなく新規に社内システムをる構築する場合セキュリティ脆弱なプロトコルバージョンや暗号が推奨セキュリテ最新ではないフィ例外型使われるリスクを受容したうえで安ィ型への移行完ーチャーフォンや全性よりも相互接続性に対する要求を了までの短期的ゲーム機などを含やむなく優先させて SSL/TLS での通信な利用を前提めたほとんどのを行う場合に許容しうる最低限度の設に本ガイドラすべての機器につ定基準インの公開時点いて相互接続性を (2015 年 5 月 ) 確保できる推奨セキュリティ型への早期移行をにおいて許容可前提として暫定的に利用継続するケ能な最低限の安ースを想定している全性水準を満たす < 利用例 > 利用するサーバやクライアントの実装上の制約もしくは既存システムとの相互接続上の制約により推奨セキュリティ型 ( 以上 ) の設定が事実上できない場合別紙 1-8

12 改訂後設定基準概要安全性相互接続性の確保高セキュリテ扱う情報が漏えいした際組織の運営や本ガイドライ本ガイドラインでィ型資産個人の資産やプライバシー等に致ンの公開時点対象とするブラウ命的または壊滅的な悪影響を及ぼすと予 (2015 年 5 ザ (8.1.2 節 ) が搭想される情報を極めて高い安全性を確月 ) におい載されている保して SSL/TLS で通信するような場合にて標準的な PC スマートフォ採用する設定基準水準を大きくンなどでは問題な上回る高い安く相互接続性を確とりわけ高い安全性を必要とする明確全性水準を達保できるな理由があるケースを対象としており成非常に高度で限定的な使い方をする場合本ガイドラインがの設定基準である一般的な利用形態で対象としないバ使うことは想定していないージョンが古い OS やブラウザの < 利用例 > 場合や発売開始か政府内利用 (G2G 型 ) のなかでも限定らある程度の年月された接続先に対してとりわけ高い安が経過している一全性が要求される通信を行う場合部の古い機器 ( フィーチャーフォンやゲーム機など ) については接続できない可能性がある推奨扱う情報が漏えいした際組織の運営や本ガイドライほとんどのすべてセキュリティ資産個人の資産やプライバシー等に何ンの公開時点の機器について相型らかの悪影響を及ぼすと予想される情報 (2015 年 5 互接続性を確保でを安全性確保と利便性実現をバランス月 ) におけるきるさせて SSL/TLS での通信を行うための標標準的な安全すでにサポート準的な設定基準性水準を実現が切れているなどかなり古い機器なほぼすべての一般的な利用形態で使うどで接続できないことを想定している場合があるがこの種の機器は本来 < 利用例 > 別紙 1-9

13 設定基準概要安全性相互接続性の確保政府内利用 (G2G 型 ) や社内システム接続させるべきでへのリモートアクセスなど特定されはないた通信相手との安全な通信が要求される場合電子申請など企業国民と役所等との電子行政サービスを提供する場合金融サービスや電子商取引サービス多様な個人情報の入力を必須とするサービス等を提供する場合既存システムとの相互接続を考慮することなく新規に社内システムを構築する場合セキュリティ脆弱なプロトコルバージョンや暗号が使本ガイドラインほとんどのすべて例外型われるリスクを受容したうえで安全性の公開時点の機器について相よりも相互接続性に対する要求をやむな (2015 年 5 互接続性を確保でく優先させて SSL/TLS での通信を行う場月 ) においてきる合に許容しうる最低限度の設定基準すでに最低限の安全性水準を満推奨セキュリティ型への早期移行を求たしているとはめるものでありすでに最低限の安全性言えない状況に水準を満たしているとは言えない状況になっている速なっているやかな推奨セキュリティ型への < 利用例 > 移行を強く求め利用するサーバやクライアントの実装る上の制約もしくは既存システムとの相互接続上の制約により推奨セキュリティ型 ( 以上 ) の設定が事実上できない場合 4.11(4) 4.11(5) 別紙 1-10

14 5.4.3 サーバ証明書で利用すべき鍵長 P30 CRYPTREC Report 2013 改訂前詳細については CRYPTREC Report 図 3.1 図 3.2 を参照されたい改訂後詳細については CRYPTREC Report 図 3.3 図 3.4 を参照されたいサーバ証明書の有効期間に関する注意点改訂後サーバ証明書の有効期間に関する注意点サーバ証明書については CA/ ブラウザフォーラムによる Baseline Requirement で要件が規定されている 2017 年 4 月 22 日以降既存の鍵ペアを使う場合は有効期間は 825 日までと規定されておりさらに 2018 年 3 月 1 日以降は新規鍵ペアでも有効期間は 825 日までと規定されているしたがってサーバ証明書の有効期間についてこのような規定についても考慮されたい 4.11(4) 6.2 暗号スイートで利用可能な候補となる暗号アルゴリズム P35 NIST SP revision 1 (draft) 改訂前 9 NIST SP revision 1 (draft), Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 改訂後 10 NIST SP revision 1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations DHE/ECDHE での鍵長の設定状況についての注意 P38 図 4 DHE/ECDHE の鍵長の設定状況 (Alexa の調査結果を加工 ) 改訂前 NIST SP revision 1 (draft), Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 10 NIST SP revision 1, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations 別紙 1-11

15 図 4 の 2015 年 1 月の Alexa の調査結果 11 によれば約 47 万の主要なサイトについて DHE が利用できるのは約 52.3% でありそのうちの約 87.5%( 全体では約 45.8%) が鍵長 1024 ビットを採用している一方 ECDHE が利用できるのは約 62.7% でありそのうちの約 98%( 全体では約 61.5%) が鍵長 256 ビットを採用している改訂後図 4 の 2017 年 1 月の Alexa の調査結果 12 によれば約 47 万の主要なサイトについて DHE が利用できるのは約 55.7% でありそのうちの約 64.7%( 全体では約 36.0%) が鍵長 2048 ビットを採用している一方 ECDHE が利用できるのは約 92.2% でありそのうちの約 92.7%( 全体では約 85.4%) が鍵長 256 ビットを採用している P38 図 4 DHE/ECDHE の鍵長の設定状況 (Alexa の調査結果を加工 ) 改訂後図 4 DHE/ECDHE の鍵長の設定状況 (Alexa の調査結果を加工 ) 別紙 1-12

16 DHE をサポートする上限 DHE 限定なら 64.66% PFS サポート PFS 優先 bits 768bits 1024bits2048bits3072bits4096bits8192bits ECDHE をサポートする上 ECDHE 限定なら 92.70% PFS サポート PFS 優先 P-192 P-224 P-256 P-384 P-521 P-571 図 4 DHE/ECDHE の鍵長の設定状況 (Alexa の調査結果を加工 ) 4.13(6.3.3 節 )DHE での鍵長 2048 ビットの設定に係る実装状況サーバ証明書での脆弱な鍵ペアの使用の回避 P45 既知の解読可能な鍵ペアでないことを確認するサービス改訂前 13 例えばがあるただし安全性を 100% 証明するものではないことに注意されたい改訂後 13 例えばがあるただし安全性を 100% 証明するものではないことに注意されたい別紙 1-13

17 14 例えばやがあるただし安全性を 100% 証明するものではないことに注意されたい HTTP Strict Transport Security(HSTS) の設定有効化改訂前以上のように HTTPS で安全にサービスを提供したい場合などではユーザに意識させることなくミスを防止できユーザの利便性を向上させることができるので HSTS の機能を持っているならば有効にすることを推奨する参考までにいくつかの設定例を Appendix B.4 で紹介するただし HSTS が実際に機能するためにはサーバだけでなくブラウザも対応している必要があることに注意されたいまた一度も接続したことがないサーバ ( 例外的に Firefox 17 以降ではあらかじめ登録されているサーバもある ) や HSTS の期限切れになったサーバの場合にも HTTPS への変換は行われない 2014 年 9 月時点での主要な製品の HSTS へのサポート状況は以下の通りであるサーバ Apache 以降 : 設定により可能 Lighttpd 以降 : 設定により可能 nginx 以降 : 設定により可能 IIS: 設定により可能クライアント ( ブラウザ ) Chrome: 以降でサポート Firefox:Firefox 17 以降でサポート Opera:Opera 12 以降でサポート Safari:Mac OS X Mavericks 以降でサポート Internet Explorer:Windows 10 IE 以降でサポート予定改訂後以上のように HTTPS で安全にサービスを提供したい場合などではユーザに意識させることなくミスを防止できユーザの利便性を向上させることができるので HSTS の機能を持っているならば有効にすることを推奨するなお HSTS はサーバクライアント ( ブラウザ ) ともに 2018 年 3 月時点の最新バージョンではすべてサポートされている 4.13(7.2.1 節 )HTTP Strict Transport Security(HSTS) に係る実装状況 14 例えばやがあるただし安全性を 100% 証明するものではないことに注意されたい別紙 1-14

18 7.2.4 OCSP Stapling の設定有効化改訂前なお OCSP Stapling は 2014 年 9 月時点で以下の環境においてサポートされている参考までにいくつかの設定例を Appendix B.5 で紹介するサーバ Apache HTTP Server 以降 nginx 以降 Microsoft IIS on Windows Server 2008 以降などクライアント ( ブラウザ ) Mozilla Firefox 26 以降 Microsoft Internet Explorer (Windows Vista 以降 ) Google Chrome 改訂後なお OCSP Stapling はサーバクライアント ( ブラウザ ) ともに 2018 年 3 月時点の最新バージョンではすべてサポートされている 4.13(7.2.4 節 )OCSP Stapling に係る実装状況 Public Key Pinning の設定有効化改訂前 2014 年 9 月時点で Public Key Pinning をサポートしている環境は以下の通りであるサーバ HTTP ヘッダを追加可能な任意のサーバクライアント Google Chrome 13 以降 Mozilla Firefox 32 以降 ( デスクトップ版 ) 34 以降 (Android 版 ) Internet Explorer: マイクロソフト脆弱性緩和ツール (EMET 15 ) を導入することで設定可能 (EMET バージョン 4.0 以降よりサポート ) 期待されるハッシュ値の提供方法には 2 通りある 1) ブラウザのソースコードに主要なサイトの SPKI フィールドの情報のハッシュ値リストを保持しこれと比較して SSL サーバ証明書が正当であるかを調べるもの 2014 年 9 月時点では Google Chrome や Mozilla Firefox がサポートしている 2) サイトから送られる HTTP ヘッダに含まれる SSL サーバ証明書の SPKI 15 別紙 1-15

19 フィールドの情報のハッシュ値を元に正当性を比較するもの IETF において Public Key Pinning Extension for HTTP として発行された参考までにいくつかの設定例を Appendix B.6 で紹介する改訂後ただし導入が進んでいない Google Chrome 67 からサポートをやめる予定 Mozilla Firefox 35 からサポートされている 4.13(7.2.5 節 )Public Key Pinning に係る実装状況 8.1 本ガイドラインが対象とするブラウザ P 対象とするプラットフォーム改訂前デスクトップ向け OS Windows Vista Service Pack 2 (2017 年 4 月 11 日サポート終了 ) Windows 7 Service Pack 1 (2020 年 4 月 11 日サポート終了 ) Windows 8 (2016 年 1 月 12 日サポート終了 ) Windows 8.1 (2023 年 1 月 10 日サポート終了 ) Mac OS X 10.9 スマートフォン向け OS 当該端末で利用できる最新の Android( もっとも古いもので Android4.x) ios 8 改訂後デスクトップ向け OS Windows 7 Service Pack 1 (2020 年 4 月 11 日サポート終了 ) Windows 8.1 (2023 年 1 月 10 日サポート終了 ) Windows 10(2025 年 10 月 14 日サポート終了 ) OS X El Capitan(10.11)(2017 年 12 月 6 日最終アップデート ) macos Sierra(10.12)(2017 年 12 月 6 日最終アップデート ) macos High Sierra(10.13)(2017 年 12 月 6 日最終アップデート ) スマートフォン向け OS 当該端末で利用できる最新の Android(2018 年 3 月時点で最新 ver. は Android 8.x) 当該端末で利用できる最新の ios(2018 年 3 月時点で最新 ver. は ios 11.x) 4.11(5) 別紙 1-16

20 (8.1.1 節 ) 主要 OS に係るサポート状況 P 対象とするブラウザのバージョン改訂前 Microsoft Internet Explorer 2016 年 1 月 12 日以降はサポートされるオペレーティングシステムで利用できる最新バージョンの Internet Explorer のみがテクニカルサポートとセキュリティ更新プログラムを提供されるようになる ( 表 1) 詳細は以下を参照のこと Microsoft Internet Explorer サポートライフサイクルポリシーに関する FAQ Microsoft Internet Explorer 以外のブラウザ Apple Safari 最新版 Google Chrome 最新版 Mozilla Firefox 最新版 Mobile Safari(iOS): ios 8 に搭載する Mobile Safari 表 1 Internet Explorer のサポート期間ブラウザバージョン OS バージョンサポート期間 ( 年 11 月 10 日時点 ) Internet Explorer 7 Windows Vista SP2 2016/1/12 Internet Explorer 8 Internet Explorer 9 Internet Explorer 10 Internet Explorer 11 Windows Vista SP2 2016/1/12 Windows 7 SP1 2016/1/12 Windows Vista SP2 2017/4/11 Windows 7 SP1 2016/1/12 Windows 7 SP1 2016/1/12 Windows /1/12 Windows 7 SP1 2020/1/14 Windows /1/10 改訂後 Microsoft Internet Explorer 11 Microsoft Edge Apple Safari 最新版 Google Chrome 最新版 Mozilla Firefox 最新版 Mobile Safari(iOS) 4.11(5) 別紙 1-17

21 4.13(8.1.2 節 )Microsoft Internet Explorer 及び Edge のサポート状況 8.2 設定に関する確認項目 P 設定項目設定項目を標準機能で提供していないブラウザ改訂前以下のブラウザは設定変更オプションが提供されておらずそもそも設定変更ができない PC 版 Web ブラウザ Apple Safari Google Chrome スマートフォンに含まれる Web ブラウザ Android 標準ブラウザ Mobile Safari (ios) 改訂後以下のブラウザは設定変更オプションが提供されておらずそもそも設定変更ができない PC 版 Web ブラウザ Apple Safari Google Chrome スマートフォンに含まれる Web ブラウザ Google Chrome Mobile Safari (ios) 4.11(5) P 設定項目設定項目を標準機能で提供しているブラウザ改訂前 Microsoft Internet Explorer 他のブラウザとは異なり Internet Explorer ではツールインターネットオプション詳細設定を選択すると多数の設定項目が表示されユーザが細かく設定できるようになってはいるしかし安全性を考慮してデフォルト設定が行われていることから特段の理由がない場合にはプロトコルバージョンの設定を除いて設定を変更することは推奨しないなお Internet Explorer のセキュリティ機能及びデフォルト設定については以下に一覧としてまとめられているバージョン別 IE のセキュリティ機能別紙 1-18

22 プロトコルバージョンの設定ツールインターネットオプション詳細設定を選択した後設定項目をセキュリティまでスクロールさせると SSL2.0 を使用する SSL3.0 を使用する TLS1.0 を使用する TLS1.1 を使用 TLS1.2 を使用といったチェックボックスが表示されるここでのチェックボックスにチェックが入っているプロトコルバージョンがブラウザが使うことができるプロトコルバージョンとなる本ガイドライン公開時点 (2015 年 5 月 ) のデフォルト設定では IE6 では SSL2.0 を使用するにチェックが入っている一方 IE8 以降では TLS1.1 や TLS1.2 をサポートしているものの TLS1.1 を使用 TLS1.2 を使用にはチェックが入っていないこのように Internet Explorer は使うバージョンによって利用できるプロトコルバージョンが異なるのでプロトコルバージョンについてのみ適切な設定になっているかを確認し必要に応じて設定変更することを推奨する TLS1.2 TLS1.1 TLS1.0 SSL3.0 SSL2.0 IE6( 参考 ) IE7 IE8 IE9 IE10 IE11 : デフォルト設定 ON : デフォルト設定 OFF : サポートしていない別紙 1-19

特段の理由がない場合に変更することは推奨しない改訂後 Microsoft Internet Explorer 他のブラウザとは異なり Internet

23 Firefox Firefox ではサーバ証明書の検証失効機能においてどのように処理するかの動作についてのみ設定方法を提供しているこの設定についてはメニューオプション詳細証明書検証 (V) を選択することで設定方法へのダイアログが表示されるデフォルトの設定は以下のようになっており特段の理由がない場合に変更することは推奨しない改訂後 Microsoft Internet Explorer 他のブラウザとは異なり Internet Explorer ではツールインターネットオプション詳細設定を選択すると多数の設定項目が表示されユーザが細かく設定できるようになってはいる別紙 1-20

しかし安全性を考慮してデフォルト設定が行われていることから特段の理由がない場合には設定を変更することは推奨しないプロトコルバージョンの設定ツールインターネットオプション詳細設定を選択した後設定項目をセキュリティまでスクロールさせると SSL3.0 を使用する TLS1.0 を使用する TLS1.1 を使用 TLS1.

24 しかし安全性を考慮してデフォルト設定が行われていることから特段の理由がない場合には設定を変更することは推奨しないプロトコルバージョンの設定ツールインターネットオプション詳細設定を選択した後設定項目をセキュリティまでスクロールさせると SSL3.0 を使用する TLS1.0 を使用する TLS1.1 を使用 TLS1.2 を使用などといったチェックボックスが表示されるここでのチェックボックスにチェックが入っているプロトコルバージョンがブラウザが使うことができるプロトコルバージョンとなる以下は windows10 IE11 の設定画面である Firefox Firefox ではサーバ証明書の検証失効機能においてどのように処理するかの動作についてのみ設定方法を提供しているこの設定についてはメニューオプションプライバシーとセキュリティ証明書で選択することで設定のチェックボックスが表示されるデフォルトの設定は以下のようになっており特段の理由がない場合に変更別紙 1-21

25 することは推奨しない 4.11(5) 鍵長 1024 ビット SHA-1 を利用するサーバ証明書の警告表示改訂前鍵長 1024 ビット SHA-1 を利用するサーバ証明書の警告表示 CA/Browser Forum にてサーバ証明書の有効期限が 2014 年 1 月 1 日以降の場合 RSA の鍵長を最小 2048 ビットにすると決められているこのためブラウザベンダ各社では RSA の鍵長が 2048 ビット未満のものは順次無効にする対処がされているまた SHA-1 についても順次無効化する対処が予定されている詳しくは以下のとおりである Microsoft Internet Explorer 2017 年 1 月 1 日より SHA-1 で署名されたサーバ証明書を受け付けない 16 詳細は別途追記予定 Google Chrome Chrome 39 より順次 SHA-1 で署名されたサーバ証明書についてはアドレスバーの鍵アイコンが別表記になる 17,18 以下のようにサーバ証明書の有効期限によって表記は変化するバージョンサーバ証明書の有効期限アドレスバーの鍵アイコンの表記年 1 月 1 日以降黄色い三角アイコン 2016 年 6 月 1 日 ~12 月 31 日黄色い三角アイコン年 1 月 1 日以降 HTTP と同様の表示 2016 年 1 月 1 日 ~12 月 31 日黄色い三角アイコン年 1 月 1 日以降赤いアイコン Firefox 別紙 1-22

26 2014 年以降 SSL/TLS で利用される RSA の鍵長が 2048 ビットに満たないルート証明書は順次無効になり 2015 年の中頃までにはすべてで無効になる 19 また SHA-1 で署名されたサーバ証明書についても 2015 年以降にリリースされる最新版の Firefox では以下のように変更をする予定である 20 バージョンサーバ証明書の有効期限アドレスバーの鍵アイコンの表記 2015 年以降の 2017 年 1 月 1 日以降警告表示をする UI を追加バージョン 2016 年以降の接続の安全性を確認できません 2017 年 1 月 1 日以降バージョンと表示 2017 年以降の接続の安全性を確認できませんすべてバージョンと表示改訂後 SHA-1 を利用するサーバ証明書に対する無効化 CA/Browser Forum では 2016 年 1 月 1 日以降商用 CA は SHA-1 のサーバ証明書を発行しないことが決められているこのためブラウザベンダ各社では SHA- 1 のサーバ証明書は無効化する対処がされている詳しくは以下のとおりである Microsoft Internet Explorer 2017 年 5 月 9 日に公開した更新版で IE11 Edge で SHA-1 を無効化している 21 がサポートはしている Google Chrome Chrome56 から SHA-1 を無効化している 22 がサポートはしている Firefox Firefox36 から SHA-1 を無効化している 23 がサポートはしている 4.11(5) SSL3.0 の取り扱い改訂前別紙 1-23

27 8.3.2 SSL3.0 の取り扱い POODLE 攻撃の公表を受け各ブラウザベンダは順次 SSL3.0 を利用不可とする対処を取り始めている Internet Explorer セキュリティ情報 MS Internet Explorer 用の累積的なセキュリティ更新プログラム ( ) により Internet Explorer 11 では SSL3.0 がデフォルトで無効になっているそれ以外のバージョンの Internet Explorer では設定を変更することにより SSL3.0 を無効化することができる詳しくは下記 URL のマイクロソフトセキュリティアドバイザリを参照のことマイクロソフトセキュリティアドバイザリ Google Chrome Chrome 40 からデフォルトで SSL3.0 が無効化されている Firefox Firefox 34 および Firefox ESR からデフォルトで SSL3.0 が無効化されている改訂後 ( 全削除 ) 4.11(5) 新規 RC4 と TripleDES の取り扱い改訂前なし改訂後 RC4 の取り扱い RC4 および TripleDES の危殆化の状況を受け各ブラウザベンダでは RC4 を利用不可とする対処を取り始めている 4.11(5) II. コラムに係る記述のアップデート SSL/TLS 暗号設定ガイドライン v1.1 に掲載されている 4 つのコラムのうちコラム3 輸出規制時代の名残 -FREAK 攻撃コラム4 DigiNotar 認証局事件について以下の内容に改訂することを提案する別紙 1-24

28 改訂案 1 Measuring HTTPS Adoption on the Web 26th USENIX Security Symposium August 16 18, 2017 Vancouver, BC, Canada 2017 年 8 月 16 から 18 日の 26 th USENIX Security Symposium で Measuring HTTPS Adoption on the Web という論文が発表された東アジア諸国は特に HTTPS の普及率が低くインターネット利用率の高い 13 ヵ国のうち韓国と日本が HTTPS の普及率の最下位 2 ヵ国である調査結果が掲載されていたインターネットプライバシーを強化するためにも HTTPS の普及を進めるべきであると言及されていた改訂案 2 Symantec のサーバ証明書が Chrome と Firefox で Symantec のサーバ証明書が Chrome と Firefox で無効化されるという記事が掲載されている --- Symantec の証明書発行事業における一部のパートナー企業が明らかに不正なドメイン名をコモンネーム ( 共通名 ) に持つ証明書を発行していたなど不適切な証明書の取り扱いが発覚したことだパートナーと言っても証明書の発行には Symantec のシステムが用いられまた同社の認証局が信頼の連鎖におけるルートとなっていたこの事態を重く見た Google と Mozilla は Symantec との協議を経て Symantec のシステムから発行された全ての証明書を丸ごとごっそり将来的に Google Chrome や Mozilla Firefox などで信頼しないようにすることを決定した Google Security Blog で Chrome は 2018 年 3 月 (Chrome 66) に 2016 年 6 月 1 日より前に発行された Symantec の証明書を無効化し 2018 年 10 月 (Chrome 70) には Symantec のすべての証明書を無効化することを公表している mozilla wiki で Firefox は 2018 年 5 月 (Firefox 60) に 2016 年 6 月 1 日より前に発行された Symantec の証明書を無効化し 2018 年 10 月 (Firefox 63) には Symantec のすべての証明書を無効化することを公表している III. 付録脚注に係る記述のアップデート付録に係る記述の改訂案は別紙 2 として添付した別紙 1-25

運用ガイドラインWG活動報告

運用ガイドラインWG活動報告 1 運用ガイドライン WG 活動報告主査菊池浩明明治大学 2 背景 1: スノーデン事件とフォワードセキュリティ Edward Joseph Snowden 元米中央情報局 CIA 職員米国家安全保障局 NSA へ出向していた 2013 年 6 月 13 日香港英文紙に米国政府が世界中の数万の標的を対象に電話記録やインターネット利用を極秘裏に監視していたことを暴露 Perfect Forward

SSL/TLS 暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査 検討 調査報告書別紙 1 本文に係る改訂案 2018 年 6 月

SSL/TLS 暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査検討調査報告書別紙 1 本文に係る改訂案 2018 年 6 月