さくらの夕べ大阪 20140306 ファーストサーバセッション資料

2014 年 3 月 6 日ファーストサーバ株式会社

レンタルサーバのセキュリティと SSL～ユーザに説明できる正しい知識（ちょっと濃い目）～

Copyright© 2014 Firstserver, Inc. All rights reserved.

予定

• ファーストサーバのご紹介• SSL について

– 当社のサービスと SSL– 情報セキュリティと SSL の基本– 認証水準について– 認証手続き– Web サーバの設定について

2

Copyright© 2014 Firstserver, Inc. All rights reserved. 3

ファーストサーバのご紹介


ファーストサーバについて

ファーストサーバ株式会社

大阪市中央区安土町 1 丁目 8 番 15 号野村不動産大阪ビル 3F

さくらインターネット様とは堺筋本町駅を挟んでご近所です。


ファーストサーバについて

1996 年「クボタシステム開発株式会社」にてレンタルサーバー事業を開始1999 年 9 月レンタルサーバーサービス「ファーストサーバ」を開始

2000 年 6 月「ファーストサーバ株式会社」として独立、営業活動を開始2004 年 11 月ヤフー株式会社の子会社となる

5


2012 年 6 月大規模事故

6


http://itpro.nikkeibp.co.jp/article/Watcher/20140214/536882/

日経コンピュータ 2014 年 2 月 20 日号

ここまで来ました

7


宜しくお願いいたします。

8


SSL について


ファーストサーバと SSL

2004 年～ 2010 年までRSA セキュリティのルート証明書を利用し独自に認証局を運営し BIZCERT という証明書を提供しておりました。

※2010 年からはサイバートラスト社と提携し SureServer を OEM 提供

10


自己紹介

■ 小島健司

企画、営業、サポートなど何でも屋「 Web 改ざん検知サービス」をレンタルサーバ業界で初リリース。 Twitter: @nu_nrgist

個人的にクリエイターさんなどが集まる交流会「関西メディコミ会」を主催してます。

http://medicomi.com/

11


自己紹介

■ 西口昌宏

プログラマ、社内 LAN の運用管理を経て、ファーストサーバでは技術サポート、 DNS 、デジタル証明書業務に従事。DNS や SSL が専門分野。情報セキュリティスペシャリストだったりします。Twitter: @mahbo

12


当社のサービスと SSL

13


当社が提供するサービスタイプサービス名称サーバー

管理コンテンツ管理

SSL 関連サービス

マネージド共有サーバー

ビズ 2 当社お客様サーバー証明書取得代行サーバセキュア化サービス

マネージド専用サーバー

エンタープライズ 3

当社お客様サーバー証明書取得代行サーバセキュア化サービス

セルフマネージド専用サーバー

デルタお客様お客様シマンテック　サーバー証明書クーポン

SaaS desknet’sHR 当社お客様共有 SSL

PaaS PHP NinjaNode Ninja

当社お客様

お客様お客様

IaaS Z Cloud お客様お客様代表例です


当社の SSL サービス認証局種別

サービス発行認証水準発行対象対象サービス

Public シマンテック EV サーバー証明書 VeriSign 拡張認証EV

企業 https

シマンテックサーバー証明書組織認証OV

サイバートラスト EV サーバー証明書 CyberTrust 拡張認証EV

サイバートラストサーバー証明書組織認証OV

BIZCERT CyberTrust 組織認証OV

企業個人事業主

https

サーバセキュア化サービス https/smtps/pops/ftps

ドメイン認証型サーバー証明書 GlobalSign ドメイン認証DV

ドメイン https

共有 SSL

Private Firstserver Encryption Services(FirstServer 社内 CA)

FirstServer 独自サーバ契約者

https/ftps


情報セキュリティと SSL の基本

16


情報セキュリティの 3 要素・ 6 要素

機密性

完全性可用性

Confidentiality

Integrity Availability

C.I.A責任追跡性Accountability

真正性Authenticity

信頼性Reliability


SSL の機能

機密性

完全性

Confidentiality

Integrity

真正性Authenticity

漏洩防止

改竄防止

成りすまし防止


信頼できる第三者機関

消防署の方から来まし

た本当かしら本当なのね

彼は消防署員です

TTP: Trusted Third Party


印鑑証明書とデジタル証明書

20

印鑑証明書

鯖名前～住所～

印章印影

私有鍵公開鍵公開鍵証明書

鯖

鯖Bergmann

市役所

市長之印

認証局


印鑑証明書の発行

Bergmann

印鑑証明書

鯖名前～住所～市長之印

印鑑登録

鯖名前～住所～

(1)

(2)


印鑑証明書の利用

Bergmann

契約書

鯖印鑑証明書

鯖名前～住所～市長之印

(3)

(4)


デジタル証明書の発行

証明書署名要求名前～住所～

(1)

(2)


デジタル証明書の利用

デジタルデータ

デジタル署名

(3)(4)

信頼できる認証局 ( 信頼点 )


認証水準について

25


数々の「証明書」

旅券運転免許証住民基本台帳カード

社員証会員証

GPKI/LGPKIパブリック認証局

EVOVDV ( 独自ドメイン名 )DV ( 共有 SSL)

プライベート認証局

26

正式・厳格

略式・カジュアル


認証水準

認証水準認証基準実在性確認緑色のバー

拡張認証 (EV)

国際標準 ○ ○

組織認証 (OV)

各認証局 ( )※ ○ ×

ドメイン認証 (DV)

各認証局 ( )※ × ×

27

※パブリック認証局に必要な基本要件は有る (Baseline Requirements)


本当の相手は ?

28

EXAMPLE.JP

Robert.Harker

サーバ

ドメイン

会社や店組織認証 (OV)

ドメイン認証 (DV)

プライベート

拡張認証 (EV)

共有 SSL

お客様

中の人


認証水準と各社証明書拡張認証 EV 組織認証 OV ドメイン認証 DV

高低

Symantec(VeriSign)

セキュア・サーバ ID EV セキュア・サーバ ID

グローバル・サーバ ID EV

グローバル・サーバ ID

CyberTrust SureServer EV SureServer

(FirstServer) BIZCERTサーバセキュア化サービス

GlobalSign EV SSL 企業認証 SSL クイック認証 SSL

SECOM Trust Systems

セコムパスポート for Web EV

セコムパスポート for Web SR

CrossTrust Enterprise SSL Crypto SSL

StartSSL StartSSL Extended StartSSL Verified StartSSL Free

認証水準


改めて「オレオレ証明書」• 不特定多数に利用させることを想定していて、ルート証明書もサーバ証明書もイ

ンストールさせるつもりのないもの。第一種

• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しているが、インストール方法として安全な手段が用意されていないもの。

第二種

• 不特定多数に利用させることを想定していて、ルート証明書かサーバ証明書をインストールするよう促しており、安全なインストール方法が用意されているもの。

第三種

•特定の者だけに利用させることを想定しているもの。第四種

• 正規の認証局から取得したサーバ証明書であるが、一部のクライアントでその認証局がルートとして登録されていないもの。第五種

• 正規の認証局（中間認証局）から取得したサーバ証明書であるが、中間認証局の証明書をサーバに設置していないため、クライアントが認証パスを検証できないもの。

第六種

オレオレ証明書の区分改訂版 (C)高木浩光氏 http://takagi-hiromitsu.jp/diary/20051118.html

プライベー

ト認証局

パブリッ

ク認証局


証明書の中身を見てみよう

Subject SubjectAltName

CN = www.fsv.jpO = Firstserver, Inc.L = Osaka-shiS = OsakaC = JP

DNS Name=www.fsv.jp

組織認証 (OV) の一例


証明書の中身を見てみよう

Subject Subject

32

CN = *.tongbi.jp

E = [email protected] = www.example.jpO = "Firstserver, Inc"ST = OsakaC = JP

ドメイン認証 (DV) の一例 FirstServer 社内 CA の場合

O(Organization) が無いどれを書くかは自由


認証手続き

33


ドメイン認証

• ドメインの管理や使用の権限を持つ者に確認– WHOIS の各担当者メールアドレス

• 登録者 Registrant• 管理担当者 Administrative Contact• 技術担当者 Technical Contact

–一般的なメールアドレス• [email protected]• [email protected]• [email protected]• [email protected]• [email protected]

• API34

認証局により異なります


組織認証• ドメイン名の利用権限

– WHOIS– ドメイン認証

• 実在性– 登記簿– 第三者機関データベース– 第三者機関の訪問または意見書など

• 商号 / 屋号– 政府機関が提供する文書– 政府機関とのメール記録– 公共料金請求書、取引明細など

• 申請の真正性– 組織を代表して申請しているか

35

認証局により異なります


WEB サーバの設定について

36


私有鍵の安全• 漏洩しないこと

– パーミッション• chmod 500 私有鍵ディレクトリ• chmod 400 私有鍵ファイル

– パスフレーズを設定• SSLPassPhraseDialog exec:/path/to/program• #!/bin/sh

echo “パスフレーズ”• chmod 500 /path/to/program

• 精度の良い乱数を使うこと– 擬似乱数の SEED

• srand( time ^ $$ ^ unpack “%32L*”, `ps wwaxl | gzip` );• UNIX時間、プロセス ID 、プロセス一覧の圧縮結果の排他的論理和• 「 Programing Perl Volume2 」より


暗号強度

38

Robert.Harker

サーバ /ブラウザ間のネゴシエーション


Web サーバ設定

• TLS/SSL バージョン– apache: SSLProtocol– nginx: ssl_protocols

• 暗号スイート– apache: SSLCipherSuite– nginx: ssl_ciphers

• openssl ciphers -v ’HIGH:!ADH:!MD5’

39


SSL の無いネットなんて

40

(C)ゲーム日記帳


結論

デジタル証明書は用途に合わせて使い分けましょう

41


最も弱い環の原則

A chain is no stronger than its weakest link(鎖はいちばん弱い輪以上に強くなれない )

42


Tongbi

さくらインターネットのユーザ様にも使っていただきたい無料の WEB サイトモニタリングサービスです。

43

http://tongbi.jp/

Respons Code http status code が 200か否かRespons Time http respons の応答時間が閾値を超えていないかSSL Cert 証明書の有効期限が閾値 (30 日前 ) をむかえていないか


ご清聴ありがとうございました

44

さくらの夕べ 大阪 20140306 ファーストサーバセッション資料

Technology

さくらの夕べ大阪 20140306 ファーストサーバセッション資料