IPA による「SSL/TLS暗号設定ガイドライン」
(同じものを Qiita に投稿しています)
IPA から「SSL/TLS暗号設定ガイドライン」が公開されている。 一般ユーザ向けの軽いもの(ルータやブラウザの設定とか)と思ったらさにあらずで, CRYPTREC の手によるかなり詳細な内容だった。
とりあえずエンジニアとネットワーク管理者は全員目を通しておくことをお勧めする。 IPA の示すセキュリティ要件を怠ったせいで多額の賠償金を命じられた例もあるのでお気をつけあれ。
内容はこんな感じ。
- 第1章と第2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識をまとめています。
- 第3章ではSSL/TLSサーバに要求される設定基準の概要について説明しています。
- 第4章から第6章では、第3章で定めた設定基準に基づき、プロトコルバージョン、サーバ証明書、暗号スイートについての具体的なSSL/TLSサーバの要求設定項目について示しています。ここでの要求設定項目は別紙のチェックリストで確認が求められる項目となります。
- 第7章では、チェックリストの対象には含めていませんが、SSL/TLSを安全に使うために考慮すべきことをまとめています。
- 第8章は、クライアントの一つであるブラウザの設定に関する事項を説明しており、ブラウザの利用者に対して啓発するべき事項を取り上げています。
- 第9章は、そのほかのトピックとして、SSL/TLSを用いたリモートアクセス技術(“SSL-VPN”とも言われる)について記載しています。
- Appendixには、4章から6章までの設定状況を確認するためのチェックリストや、個別製品での具体的な設定方法例を記載しています。
SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~より
チェックリストは PDF および Excel で提供されている。 参考にされるとよいと思う。