常時SSL化するサイトが増加しているけど心配な脆弱性とは

スポンサーリンク

サイトを常時SSL化してユーザーに対して“セキュア”なウェブ環境を提供しようとする動きが常識になってきました。
コンテンツ作成に関して情報収集するサイトや、アフィリエイトシステムのASPサイトはほとんどSSL化し、コンテンツの一部となる広告コードも対応されるようになり、一部SSL化を見送っていた私のサイトも問題なくSSL化に対応出来るようになってきました。

そこで運営している全サイトのSSL化を考えているのですが、最近、気になる言葉をネット上に見つけました。

「SSLの脆弱性」って・・・SSLは暗号化されるので安全だったはず

SSLには暗号化の仕組みが漏れて通信する情報が流出する危険性があるよ・・・ということです。

情報が盗み取られるのならSSL化する意味がありません。
一体どういうことなのでしょう。

2016年3月の記事がSSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明によると、SSLの脆弱性とは次のようにして発生するようです。

SSLの脆弱性をテストしてみる

現在のSSLのバージョンは「TLS1.2」でSSL表記では「SSL3.3」になります。
ところが古くから運用されているサーバーには「SSL2.0」というSSLの初期のバージョンにも対応させているサーバーがかなりあるそうです。

その為、現在の「TLS1.2」に対応しているサーバーであっても、「SSL2.0」に対応可能な為、DROWN攻撃を受けると暗号化が解除されてしまうのです。

DROWN攻撃に対する脆弱性の対応についてはサーバー側で行うので、レンタルサーバーを利用している個人ユーザーは特に対応などはできません。
せいぜい出来るのは、自分のサイトのサーバーの脆弱性をチェックすることぐらいです。
SSLのテストはGlobalSign SSL Server Testを使って行います。
当サイトもテストしてみました。

SSL Server Test

上の画像はテストをしている最中です。
もう少しで終わりそうです。

SSL Server Test

テストが終わるとこんな画面になりました。
結果は「A-」とかで、多分問題ないよ!ということかと思います。

テストをしたのはエックスサーバーのサイトですので、エックスサーバーを利用されている人は安心していいと思います。

SSLの脆弱性についてはこちらの記事も詳しく書かれていますので、興味があれば読んでみて下さい。
》》》DROWN攻撃による脆弱性の対策を

指摘されていた大手サイトもテスト

紹介した記事中に記載されていた大手サイト“はてな”と“LINE”について、現在の状況をテストしてみました。

こちらのテストは OpenSSL DROWN vulnerability scanner で行いましたが、現在は脆弱性は無いようです。

ウェブアプリを使うことも多くなっています。
SSL化されたサイトは安心と思っていると、知らぬ間に個人情報が盗まれているということもあり得ます。

心配なサイトに遭遇した時は、SSL Server Testで安全性を確認してから利用する方が良いかもしれません。

コメント