IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
  • @IT
  • ITmedia エンタープライズ
  • ITmedia マーケティング
  • TechTarget
  • キーマンズネット
  • ITmedia ビジネスオンライン
  • ITmedia NEWS

合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)

技術文書

合同会社シマンテック・ウェブサイトセキュリティ(旧 日本ベリサイン株式会社)

「オレオレ認証局」にはできない、SSL証明書失効確認のメカニズム

SSL通信を行う際は、インターネット上に公開されているSSLサーバ証明書の「失効リスト」を自動的に参照して証明書のステータスを確認する。従ってこの認証局の仕組みが正しく働かないと通信速度や通信の成否にまで影響してしまう。サーバ管理者も意外と知らない「失効リスト」とは?

コンテンツ情報
公開日 2017/03/21 フォーマット PDF 種類

技術文書

ページ数・視聴時間 10ページ ファイルサイズ 1.6MB
要約
「オレオレ認証局」にはできない、SSL証明書失効確認のメカニズム
 認証局にはSSLサーバ証明書を「発行する」だけでなく、Webサイト運営企業による「秘密鍵」の紛失時などに際し、証明書を「失効する」という重要な役割があることをご存じだろうか?

 失効されたSSLサーバ証明書の情報は、インターネット上で「失効リスト」として公開されている。Webサイト訪問者が証明書を利用してSSL通信を行う際には、このリストを自動的に参照して証明書のステータスを確認し、信頼性が担保されるメカニズムが働く。

 そのため、失効確認の仕組みが正しく働かないと、インターネットの安全が大きく脅かされる事態につながる。例えば、秘密鍵が他人に盗まれたWebサイトでは悪意を持った第三者による「なりすまし」が行われ、いわゆる中間者攻撃を仕掛けられる危険が生ずる。

 加えて、認証局が管理する失効情報公開インフラのパフォーマンスが、SSLハンドシェイクの通信速度の遅延、さらにはSSL通信の成功・失敗にまで影響を及ぼす可能性があることは、サーバ管理者であっても意外に知られていない情報だ。昨今増え始めた「オレオレ認証局」を利用していては、こうした事態を招きかねない。

 本資料では、企業の情報システム担当者に向け、SSLサーバ証明書の失効情報を管理する失効リストや確認プロトコルの仕組み、パフォーマンスなどに与える影響、及びその影響を克服するための取り組みに関して詳しく解説する。