QUALY SSL LABS「SSL Server Test」2017年評価基準

2017年1月12日

ニュースソース:CA Security COUNCIL

※以下の文章はStricter Standards for SSL Server Test Coming in 2017を要約したものです。

QUALY SSL LABSの「SSL Server Test」は多くの認証局サイトでもOEMで利用されている有名なSSLサーバーテストツールです。
CASC (CA Security Council) でも「SSL Server Test」を利用しています。
「SSL Server Test」を使ってSSLを利用している Webサーバーの安全性を総合評価し、問題点を発見・修正することができます。
「SSL Server Test」サイトにアクセスし調査対象サーバーのURLを入力すると、総合評価ランクと問題点を含む詳細評価結果が得られます。
評価項目は、「正しくインストールされているのか」「有効な証明書か」から「プロトコル」「鍵の強度」「脆弱性」と多岐に渡っています。

「SSL Server Test」の開発者は2017年版で以下のような評価基準変更を行いました。

3DES:
暗号アルゴリズム 3DE は SSweet32 脆弱性のため、3DE を使用しているサーバーは「C」以下と評価されるでしょう。
Forward Secrecy:
サーバーの秘密鍵が暴露された場合でも、過去に暗号化によって通信されたデータの安全性を守ろうとする考え方をForward Secrecy(前方秘匿性)と呼びます。エドワード・スノーデン事件以来、Forward Secrecyが広く利用されるようになりました。Forward Secrecyをサポートしていないサーバーは「B」以下と評価されるでしょう。
AEAD Suites:
AEADはTLS 1.3.で利用できる唯一のスイーツであり、サーバーは「A+」評価の対象になります。
TLS Fallback:
POODLEの脆弱性のため、主要ブラウザはプロトコルのダウングレードをやめました。そのため、TLS Fallback防止のTLS_FALLBACK_SCSVはもう「A+」評価の基準ではありません。
Weak Ciphers:
すべての128ビット以下の弱い暗号は「F」以下と評価されるでしょう。
RC4:
RC4をサポートしているサーバーは「C」以下と評価されるでしょう。
SHA-1:
すぐにSHA-1利用をやめるべきです。SHA-1利用サーバーは「F」以下と評価されるでしょう。

SSLを利用しているサーバですぐに「SSL Server Test」を実施し、安全なWebサイトであることを確認してください。