SSL脆弱性診断のススメ

SSL-脆弱性

龍野情報システム東京チームです💻!前回の記事では「SSLに関する機能や役割、Let’s Encryptを活用したSSLの設定方法」をご紹介いたしました。そこで、今回はSSLの続編記事として『SSL脆弱性診断のススメ』と題しまして、SSL暗号化の安全性を確認する為の無料ツールをご紹介します。

パソコンを頻繁に使ってお仕事をされてるIT関連の皆様!SSLを初期設定のまま運用していませんか?サーバーが初期設定のままだと、脆弱性のある通信が有効だったりしてせっかく設定したSSLの安全性が低くなってしまいます。今回の記事を参考にSSL脆弱性診断をお試し下さい。

目次はこちら

  • 1. SSLの簡単なおさらい
  • 2. SSL Server Test
  • 3. まとめ

SSLの簡単なおさらい

SSL(Secure Sockets Layer)とは、インターネット上におけるwebブラウザとwebサーバー間でのデータの通信を暗号化し、送受信させる仕組みのことです。通信を暗号化することにより、第三者からの盗聴を防ぎます。通信の安全性を高めるためには必須です。

SSLを導入するとサイトのURLが http ⇒ https に変更されます。追加されるsはsecure(セキュア、「安全である」の意)の頭文字です。SSL対応でホームページのセキュリティを強化することで、訪問者が安心してアクセスできるホームページになります。

SSLの役割

▼SSLの役割
暗号化
SSLを利用すると、通信される情報を暗号化します。万が一情報の送受信中に情報を見られても暗号化によって大切な情報が守られます。
認証
SSLは様々な方法で認証されたサーバにしか発行されません。SSLを持っているということは信頼性を証明するものです。 よってユーザに安心感を与えることができます。
暗号化の証「https」
SSLを導入したページは、URLが「https:」から始まり、鍵マークが表示されます。※お使いのブラウザによって鍵マークの表示場所は異なります。

SSL Server Test

ウェブサイトの診断テストをする場合、こちらのツールがオススメです。こちらはQualys SSL Labs社の提供している、SSL暗号化の安全性を確認する為の無料ツールです。

ページ ⇒ https://www.ssllabs.com/ssltest/
上記URLにアクセスすると、以下のような画面が表示されます。

SSL診断テスト

▼やり方はこちらです
SSL診断テスト‐1

Hostnameのところに脆弱性診断を実施したいサイトのURLを入れて、Submitをクリックすれば脆弱性診断が始まります。
※最近チェックしたWebサイトとして表示されたくなければ、Do not show the results on the boards にチェックを入れて下さい。

▼無事に終わると、以下の画像のように調べたサイトの安全性の評価が出ます。
SSL-診断テストー2

SSL Server TestではA+、A、B、C、D、E、Fまでのグレードで安全性が表示され、B以下だと何かしらの脆弱性が発見されたことになります。
どこが悪かったのかも表示されますので、できるだけ対応して、A以上が出るように頑張ってみましょう。
どうしても古いブラウザにも対応したい等の問題で、A以上に出来ないこともありますが、脆弱性の有無は確認しておきたいところです。

まとめ

今回の記事では、SSLの脆弱性診断の方法を、簡単ではありますが、ご紹介いたしました。こちらの記事を参考に是非、SSLを使いこなしましょう!