セキュリティについて気になる単語のメモ
■TLS/SSLとは
Transport Layer Security(トランスポート・レイヤー・セキュリティー、TLS)は、インターネットなどのコンピュータネットワークにおいてセキュリティーを要求される通信を行うためのプロトコル。
SSL (Secure Sockets Layer) はTLSの元になったプロトコル。
バージョンは
SSL1.0 → SSL2.0 → SSL3.0 → TLS1.0 → TLS1.1 → TLS1.2 → TLS1.3
となっている。
TLS1.0まで脆弱性がでているのでTLS1.1以降が使える
TLSの一般的な用途では、サーバだけが証明書を提示し、クライアントがその正当性を確認する。オプションでクライアント認証も可能であり、必要な場合にはサーバがクライアントに対して証明書の提示を求める。
SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ
http://hyper-text.org/archives/2014/10/ssl_3_0_disable.shtml
SSL 3.0 の脆弱性対策について
サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できる。
SSL 3.0 を無効化することで次の影響を受ける可能性がある。
・サーバ側で SSL 3.0 を無効にした場合
一部のクライアントから接続ができなくなる可能性がある。
・クライアント側で SSL 3.0 を無効にした場合
一部のサーバに接続できなくなる可能性がある。
■SHA-1、SHA-2とは
ハッシュ関数の種類で、改ざん検知に利用される署名アルゴリズム。
ハッシュ関数とは、テキストデータから別の固定長のテキストデータ(ハッシュ値)を生成する関数であり、生成されたハッシュ値を比較することでデータの改ざんを確認することができる。SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、SHA-2は224ビット・256ビット・384ビット・512ビット。
基本的にSHA-1の証明書は2017年1月1日以降使えなくなるので
2016年12月31日までにSHA-2に移行する必要がある。
対応ブラウザ
http://www.symantec.com/ja/jp/page.jsp?id=ssl-sha2-transition
PCやスマートフォンでは大部分のブラウザが以前から対応しているが携帯電話(ガラケー)は2010年以前のものは対応していないものがある。
関連する投稿:
- 2013-05-16:SSHでパスワードなしでログインする方法
- 2015-04-01:メールアドレスの考え方
- 2013-11-14:パケットキャプチャ取得のスクリプト
- 2013-05-14:MySQLインストール
- 2013-02-15:ペネトレーションテストのフェーズ