Post on 16-Apr-2017
アマゾンウェブサービスジャパン株式会社セキュリティソリューションアーキテクト
桐山 隼人
Amazon CloudFront TLS/SSL セミナー
TLS/SSL化が加速している背景
2016.8.4
TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来
TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来
TLS/SSLの歴史
Web通信暗号化技術の進化
1995年
SSL2.0誕生
1996年
SSL3.0誕生
2006年
TLS1.1誕生
2008年
TLS1.2誕生
2013年
TLS1.3検討開始
1999年
TLS1.0誕生
TLS/SSLの進化SSL2.0 SSL3.0 TLS1.0 TLS1.1 TLS1.2
攻撃方法に対する
耐性
ダウングレード攻撃(最弱暗号アルゴリズムを強制)
脆弱 安全 安全 安全 安全
バージョンロールバック攻撃(SSL2.0を強制)
脆弱 安全 安全 安全 安全
CBCモード時の脆弱性攻撃(BEAST/POODLE攻撃など)
脆弱 脆弱パッチ適用要
安全 安全
利用可能な暗号
アルゴリズム
128ビットブロック暗号(AES, Camellia) 不可 不可 可 可 可
認証付暗号利用モード(GCM, CCM) 不可 不可 不可 不可 可
楕円曲線暗号 不可 不可 可 可 可
SHA-2ハッシュ関数(SHA-256, SHA-384) 不可 不可 不可 不可 可
SSL/TLS暗号設定ガイドライン v1.1, IPA
http://www.ipa.go.jp/files/000045645.pdf
脆弱性の歴史
Web通信暗号化技術の進化
1995年
SSL2.0誕生
1996年
SSL3.0誕生
2006年
TLS1.1誕生
2008年
TLS1.2誕生
2014年9月
POODLE脆弱性
2011年
BEAST脆弱性
2013年
TLS1.3検討開始
2014年4月
Heartbleed脆弱性
2016年3月
DROWN脆弱性
脆弱性との戦い
1999年
TLS1.0誕生
2015年
FREAK脆弱性
TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来
Google ウェブマスター向け公式ブログ (2015年12月18日)
http://googlewebmastercentral-ja.blogspot.jp/2015/12/indexing-https-pages-by-default.html
HTTPS ページの優先的インデックス
PCI DSS v3.2の関連項目
2016年6月30日まで
PCI DSS Requirements and Security Assessment Procedures Version 3.2 (April 2016)
https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-2.pdf
全てのサービスプロバイダは(TLS1.2などの)セキュアなサービスを開始する
2018年6月30日まで
既存実装は(TLS1.2などの)セキュアなサービスに移行する
Apple will require HTTPS connections for iOS apps by the end of 2016 (June 14, 2016)
https://techcrunch.com/2016/06/14/apple-will-require-https-connections-for-ios-apps-by-the-end-of-2016/324759/
2016年末までにApp Transport Security(ATS)必須化
HTTP Strict Transport Security(HSTS)をgoogle.com に実装しHTTPS強制
Google's HSTS rollout: Forced HTTPS for google.com aims to help block attacks (August 1, 2016)
http://www.zdnet.com/article/googles-hsts-rollout-forced-https-for-google-com-aims-to-help-block-attacks/
* Gmail, Inbox, Google Play, Hangouts, Docsなど
*
TLS 1.2およびHTTP/1.1へのアップグレード(PayPal)
TLS 1.2およびHTTP/1.1へのアップグレード, PayPal
https://www.paypal-knowledge.com/infocenter/index?page=content&id=FAQ1914
PayPalは、外部から当社システムへの接続をすべてセキュリティ保護するために使用するプロトコルをアップグレードしています。2017年には、PayPalとの通信において、TLS 1.2 (Transport Layer Security 1.2)
および HTTP/1.1 (Hypertext Transfer Protocol 1.1)が必須になります。
ご使用の環境が TLS 1.2 と HTTP/1.1 に対応していることを確認し、必要に応じて適切な更新を行う必要があります。
業界・ベンダーによる強制力の高まり
脆弱性との戦い
2014年9月
POODLE脆弱性
2011年
BEAST脆弱性
2014年4月
Heartbleed脆弱性
2016年3月
DROWN脆弱性
業界による強制
2015年
FREAK脆弱性
2014年9月
HTTPS優先インデックス
2016年4月
PCI DSS v3.2公開
2016年7月
ATS必須化
2016年8月
HTTPS強制
2017年6月30日
TLS1.2必須化
TLS/SSLの歴史と変遷
最近のWeb通信暗号化状況
これからのWebサービス
セッションの内容
過去
現在
未来
Survey of the SSL Implementation of the Most Popular Web Sites, SSL Pulse
https://www.trustworthyinternet.org/ssl-pulse/
有名なWebサイト実装の調査
HTTP Archive Trends
http://httparchive.org/trends.php#perHttps
HTTPS普及率Alexaのトップ1,000,000 URLにおける割合
Webサイトの常時SSL化
トップページ
サービス紹介
顧客事例
セミナー申込み
トップページ
サービス紹介
顧客事例
セミナー申込み
一部SSL 常時SSL
常時SSL化のメリット
項目 効用 ビジネス効果
SEO対策 Googleの検索順位優遇 マーケティング効果向上
リファラー(参照元)の取得
サイトのアクセス解析 ユーザー動向分析
サイト開発・管理 コンテンツやリンク、構成ファイルの管理・保守
開発・運用コスト低下
脆弱なアクセスポイントからの傍受
中間者攻撃・なりすまし盗聴などの阻止
ユーザー被害の防止
HTTP/2プロトコル利用 ウェブページ表示高速化 ユーザーエクスペリエンス向上
ビジネス価値向上のためのHTTPS
業界による強制 ビジネス効果
2014年9月
HTTPS優先インデックス
2016年4月
PCI DSS v3.2公開
2016年7月
ATS必須化
2016年8月
HTTPS強制
2017年6月30日
TLS1.2必須化
マーケティング効果向上
コスト低下
ユーザー提供価値向上
そして全通信HTTPSの時代へ
ビジネス効果全通信
HTTPS
Web通信暗号化技術の進化
脆弱性との戦い
業界による強制
脆弱性との戦い:安全性のため
業界による強制:信頼性のため
ビジネス効果:ビジネス価値向上のため
まとめ:TLS/SSL化が加速している背景
過去
現在
未来