WHITE PAPER: White Paper セキュリティ警告 うっかり自社サイトで出ていませんか? ブラウザで表示されるエラーの原因と対処法 powered by Symantec
Copyright Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは Symantec Corporation または関連会社の米国およびその他の国における登録商標です その他の会社名 製品名は各社の登録商標または商標です 合同会社シマンテック ウェブサイトセキュリティは 本書の情報の正確さと完全性を保つべく努力を行っています ただし 合同会社シマンテック ウェブサイトセキュリティは本書に含まれる情報に関して ( 明示 黙示 または法律によるものを問わず ) いかなる種類の保証も行いません 合同会社シマンテック ウェブサイトセキュリティは 本書に含まれる誤り 省略 または記述によって引き起こされたいかなる ( 直接または間接の ) 損失または損害についても責任を負わないものとします さらに 合同会社シマンテック ウェブサイトセキュリティは 本書に記述されている製品またはサービスの適用または使用から生じたいかなる責任も負わず 特に本書に記述されている製品またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します 本書は 本書の読者に対し 本書の内容に従って作成された機器または製品の作成 使用 または販売を行うライセンスを与えるものではありません 最後に 本書に記述されているすべての知的所有権に関連するすべての権利と特権は 特許 商標 またはサービス マークの所有者に属するものであり それ以外の者は 特許 商標 またはサービス マークの所有者による明示的な許可 承認 またはライセンスなしにはそのような権利を行使することができません 合同会社シマンテック ウェブサイトセキュリティは 本書に含まれるすべての情報を事前の通知なく変更する権利を持ちます 2
Contents SSL サーバ証明書の警告の意味とは? 4 例 )Mozilla Foundation セキュリティアドバイザリ 2012-54 の報告 5 SSL サーバ証明書に関する警告の種類と原因 6 ブラウザが警告を出すメカニズム 7 携帯やスマートフォンでの警告例 8 シマンテック SSL サーバ証明書の対応率 10 最後に 11 3
SSLサーバ証明書の警告の意味とは? インターネットを利用しているときに 以下のような警告を目にした経験はないでしょうか これはhttpsでサイトにアクセスしよう 1 としたときにSSLサーバ証明書に何らかの問題がある場合に表示されるものです Venafi 社のセキュリティ調査によるとインターネットユーザの91% が この警告を目にしたことがあるということです 図 1. SSL サーバ証明書の警告例 皆さんは この警告の本当の意味をご存知でしょうか? こうした警告が表示されるサイトは数多く存在しており インターネットユーザはこの警告に対して漠然と不安を感じながらも無視してサイトを訪れるケースがあります 2 カーネギーメロン大学の研究者らが発表した報告書によれば 50% 以上の調査対象者が警告を無視してサイトを訪れている一方で この警告に対するインターネットユーザの捉え方は 使用するブラウザの種類や訪問するサイトの信頼性 認知度によって様々なようです 図 2. SSL サーバ証明書の警告の対応傾向 4 1: Johnath in blog form SSL warning http://blog.johnath.com/2007/08/20/ssl-infoporn/ 2: Crying Wolf: An Empirical Study of SSL Warning Effectiveness http://lorrie.cranor.org/pubs/sslwarnings.pdf
また サイト運営者も訪問者に対して 警告に関する間違った説明をしているケースも散見され こういった原因で本来の警告の意味が正しく理解されない状況が助長されているのが現状です 図 3. 間違った警告の説明例 このようなSSLサーバ証明書に関する警告に対するインターネットユーザの誤解を逆手にとって 気付かないうちにフィッシングサイトに誘導されてしまう事件も発生しています 例 )Mozilla Foundationセキュリティアドバイザリ2012-54の報告証明書警告ページを使ったクリックジャッキング攻撃の可能性が セキュリティ研究者のMatt McCutchen 氏によって報告されました 中間者攻撃を仕掛ける攻撃者が インラインフレームを使うことで 攻撃者自身の証明書エラー警告ページ (about:certerror) を 通常のサイトによって表示された本当の警告ページの 例外を追加 ボタンが付いた状態で表示させることができました こうした方法でユーザを騙すと 考えていたのとは別のサイトの証明書の例外を追加させることが可能でした 一度証明書の例外が追加されると ユーザが接続していると考えているサイトとの通信が中間者攻撃を通じて傍受される恐れもありました (http://www.mozilla-japan.org/security/announce/2012/mfsa2012-54.html) 図 4. Mozilla Foundation セキュリティアドバイザリ 2012-54 このホワイトペーパーでは ブラウザが出す警告の種類とその原因を理解し サイト運営に必要なSSLサーバ証明書に関する技術的な対処方法を解説していきます 5
SSLサーバ証明書に関する警告の種類と原因 SSLサーバ証明書の警告内容は問題の原因によって それぞれ異なります 次の表は Internet Explorerでの警告内容を原因別にまとめています 警告メッセージ警告画面原因対策方法 この Web サイトで提示されたセキュリティ証明書は 信頼された証明機関から発行されたものではありません この Web ページで提示されたセキュリティ証明書は 有効期限が切れているかまだ有効ではありません 自己署名による証明書の利用 中間証明書の設定漏れ 誤設定 証明書の期限切れ シマンテックなどの認証局事業者が発行する証明書をインストールしてください シマンテックなどの認証局から提供された中間証明書を サーバにインストールしてください 申請時に Microsoft を選択した証明書では 中間証明書はシマンテックから発行した証明書に含まれています 別途中間証明書をインストールする必要はありません SSL サーバ証明書の有効期限を確認し 有効期限が過ぎる前に更新してください この Web サイトで提示されたセキュリティ証明書は 別の Web サイトのアドレス用に発行されたものです 証明書のコモンネーム不一致 利用する Web サーバ用に発行された証明書を取得し インストールしてください セキュリティで保護された Web ページコンテンツのみを表示しますか? http と https のコンテンツが混在 https で始まる URL で他のファイルを参照する時は 参照されるファイルの URL を次のいずれかの形式で記述してください https で始まる絶対パスで記述 /( スラッシュ ) で始まる絶対パスで記述 相対パスで記述 表 1. SSL サーバ証明書の警告と原因 表 1でまとめた原因ですが ブラウザはどのようにして確認しているのでしょうか 次の章では ブラウザがSSLサーバ証明書を確認する方法について解説し それを理解することでSSLサーバ証明書の正しい運用方法を学んでいきます 6
ブラウザが警告を出すメカニズム サイトを管理しているウェブサーバとインターネットユーザが使用するクライアント端末の間でHTTPS 通信を開始する際に どのような処理が行われているのでしょうか? イア ト サ バ tt ザ サ バ の 自 ト て で か ト サ バ サ バ サ バ 自 の イア ト て う サ バ ) ザ 40 it 25 it 40 it 25 it 図 5. SSL 暗号化通信開始時のクライアント端末とウェブサーバのやり取り 1 クライアント端末からセキュアなウェブサイト (https:// ~) へアクセスし SSL 暗号化通信の接続を要求します このときクライアント端末からは 自身が使用可能な暗号化の仕様 ( 暗号方式 鍵長 圧縮方式 ) をウェブサーバへ伝えます ウェブサーバは クライアント端末から提示された暗号化仕様から実際に利用するものを選択して クライアント端末へ通知します 2 ウェブサーバは 自分の身分を証明する SSL サーバ証明書をクライアント端末へ送ります クライアント端末は SSL サーバ証明書を受け取り クライアント端末に予め 信頼される認証局 として登録されている認証局 (CA) の証明書 ( これをルート証明書と呼ぶ ) を用いて SSL サーバ証明書の署名検証を行います また クライアント端末は SSL サーバ証明書からウェブサーバの公開鍵を取得します 3 正しくルート証明書へのチェーンを辿って署名検証が完了すると クライアント端末はウェブサーバの公開鍵を用いてプリマスタシークレット ( 共通鍵を生成する基となる乱数データ ) を暗号化し ウェブサーバへ送付します ウェブサーバは自分の秘密鍵を用いて プリマスタシークレットを復号します 4 3 で共有されたプリマスタシークレットを基にクライアント端末とウェブサーバで同じ共通鍵を生成および共有し 以降のセッション ( 通信処理 ) ではこの共通鍵を用いて暗号化 複合して通信を行います ブラウザが表示する警告は どのステップで発生するかお分かりいただけたでしょうか? 答えは 2のウェブサーバから送られてきたSSLサーバ証明書の確認作業の時点です 具体的な確認作業は 表 1で纏めた原因が該当しますが それ以外にも証明書の失効確認など細かな確認をステップ3の前に実施します 詳しくは SSL を理解するための基礎 ホワイトペーパーを参照ください このようにSSLサーバ証明書の警告はパソコンのブラウザだけでなく 携帯やスマートフォンなどSSL 対応クライアントで発生します 次の章以降では パソコン以外での警告の例を見ながら 正しいSSLサーバ証明書の運営のポイントを解説していきます 7
携帯やスマートフォンでの警告例ウェブサーバから送られてきたSSLサーバ証明書の中身をクライアント側で確認することを前章では学びました パソコンと同じように携帯やスマートフォンが送られてきたSSLサーバ証明書の確認に失敗したとき どのような警告をユーザが目にするか その一例を次の表にまとめます 失敗原因クライアント端末警告画面 自己署名による証明書の利用 中間証明書の設定漏れ 誤設定 3G 携帯 Android 端末 iphone 8
失敗原因クライアント端末警告画面 証明書の期限切れ 3G 携帯 Android 端末 iphone 表 2. 携帯やスマートフォンでの警告例 このようにSSLサーバ証明書の運用上の注意点は 幾つかポイントがあります 1 信頼される認証局から発行された証明書を利用する 2 有効な証明書をインストールする 3 証明書と中間証明書を正しくインストールするしかし 上記ポイントを考慮してSSLサーバ証明書を購入しても 携帯やスマートフォンで警告が発生するケースがあります その原因は 携帯やスマートフォンにおける各認証局 ( ルート証明書 ) の搭載状況が異なるために発生します 次の最後の章では シマンテックが提供するSSLサーバ証明書の種類とクライアント対応率について解説し 適切なSSLサーバ証明書の運用にご検討ください 9
シマンテックSSLサーバ証明書の対応率シマンテックが提供するSSLサーバ証明書には 以下の4 種類があります (1) グローバル サーバID EV (2) セキュア サーバID EV (3) グローバル サーバID (4) セキュア サーバID それぞれのSSLサーバ証明書で提供される機能は異なりますが 発行元となるルート認証局 ( ルート証明書 ) は全て同一であるため SSL 対応クライアント状況は同じです グローバル サーバ ID EV セキュア サーバ ID EV グローバル サーバ ID セキュア サーバ ID 対応率 PCブラウザ Internet Explorer(Windows 版 )5.01 以降 Firefox 1.0.0 以降 Google Chrome 1.0 以降 Safari 2.0 以降 Opera 9.5 以降 携帯電話端末 100% 3 スマートフォン 100% 3 認証レベル EV 認証 ( 厳格な企業認証を行って発行 ) EV 認証 ( 厳格な企業認証を行って発行 ) 企業認証 ( 企業の実在性認証を行って発行 ) 企業認証 ( 企業の実在性認証を行って発行 ) 価格 ( 税抜 ) 1 年 219,000 162,000 138,000 81,000 2 年 426,000 315,000 264,000 153,000 納期 2~4 週間平均 3 営業日 ( 最短当日 ) 緑色アドレスバー対応対応未対応未対応 シールインサーチ マルウェアスキャン 脆弱性アセスメント NetSureプロテクション 1,750,000 USドル 1,750,000 USドル 1,500,000 USドル 1,500,000 USドル 表 3. シマンテック SSL サーバ証明書の機能比較 最新の対応状況については 以下のサイトで公開しています SSLサーバ証明書対応 PCブラウザ 携帯電話端末 http://www.symantec.com/ja/jp/page.jsp?id=ssl-eligibility 3: 弊社調べ ( 2012 年 8 月株式会社ウェブレッジ調査のアクセスシェアデータに基づく ウェブサイトにアクセスする携帯電話及びスマートフォンの機種別アクセス数から算出 ) 10
SSL サーバ証明書に関する警告ではありませんが 訪問先のウェブサイトがマルウェア 4 サイトやフィッシングサイトである場合に は ブラウザは以下のような警告内容を訪問者に通知します 警告メッセージクライアント端末警告画面原因 これは報告されている安全でない Web サイトです Internet Explorer マルウェアサイトやフィッシングサイトの可能性がある Firefox 表 4. マルウェアサイトやフィッシングサイトを訪問する際に表示される警告例 シマンテックSSLサーバ証明書には マルウェアスキャン機能が付属しており 無償で利用いただけます お客様ウェブサイトに対して毎日マルウェアスキャンを実施することで 万が一 外部からマルウェアを仕込まれたとしても早急に確認することができます 最後にウェブサイト構築作業においてSSLサーバ証明書の導入は つい片手間に考えてしまうかもしれません そのため SSLサーバ証明書の選定では 価格や発行スピードで選んでしまいがちですが その結果としてお客様が運営するウェブサイトの信頼失墜など思わぬトラブルが発生する可能性があります こういったトラブルを避けるためにも 今回ご紹介した SSLサーバ証明書の警告と原因 その対策を理解することは予期しないトラブルを未然に防ぐことができるでしょう 11 Copyright Symantec Corporation. All rights reserved. シマンテック (Symantec) ノートン (Norton) およびチェックマークロゴ (the Checkmark Logo) は米国シマンテック コーポレーション (Symantec Corporation) またはその関連会社の米国またはその他の国における登録商標 または 商標です その他の名称もそれぞれの所有者による商標である可能性があります 製品の仕様と価格は 都合により予告なしに変更することがあります 本カタログの記載内容は 2015 年 4 月現在のものです WPAlert2012_1504 合同会社シマンテック ウェブサイトセキュリティ https://www.jp.websecurity.symantec.com/ 104-0028 東京都港区赤坂 1-11-44 赤坂インターシティ Tel : 0120-707-637 E-mail : websales_jp@symantec.com