相次ぐSSL関連の脆弱性 その1 ~今こそ認証局SSLの重要性に注目を~

脆弱性/マルウェア

2015年07月01日 2023年07月26日

本記事より、昨年から相次いで発見された「SSL関連の脆弱性」についての連載を行います。
今回は、「SSLの認証局とはどんなもの?」的なお話です。

目次

  1. 2014年から相次ぐSSL関連脆弱性の発見
  2. 認証局の役割とは
  3. 認証局の種類
  4. まとめ

2014年から相次ぐSSL関連脆弱性の発見

SSLは、インターネット上で情報を暗号化して送受信できるプロトコルであり、オンラインショッピングサイトなどで住所・氏名、クレジットカードなどの情報を送受信する場合には、必須の技術と言っても過言ではありません。

SSLサーバ証明書は、「証明書に表示されたドメイン(サーバ)の所有者であることの証明」「ブラウザとウェブサーバ間でのSSL暗号化通信の実現」という2つの役割を担っております。SSLサーバ証明書は、SSL通信を行う上で大きな役割を果たします。
SSL導入のメリットは、「情報の盗聴防止」のほかに、「なりすまし」「改ざん」「事後否認」のリスクを防ぐ、ということがあります。

しかしながら、2014年頃からSSL関連の脆弱性が数多く発覚しました。

2014年4月、2015年3月 『Heartbleed』

OpenSSLの暗号ソフトウェアライブラリ上で発見された脆弱性

2014年10月 『POODLE』

SSL3.0と一部のTLS 1.0 / TLS 1.1の脆弱性

2015年3月 『FREAK』

OpenSSL(0.9.8zd未満・1.0.0p未満の1.0.0バージョン・1.0.1k未満の1.0.1バージョン)と、Apple の SSL/TLS通信における脆弱性

2015年5月 『Logjam』

ディフィー・ヘルマン鍵共有を用いたTLS通信における脆弱性

上記をはじめ、通信内容を盗聴されたり、SSL通信で非常に重要な位置づけである「秘密鍵」を第三者に取得される等、リスクがあるとされる脆弱性の報告がいくつも行われてきました。
ただ、このような脆弱性の報告が相次ぐ中でも、弊社をはじめとする認証局が発行したSSLサーバ証明書を使ったSSL暗号化通信は、適切に対処することで引き続き安全に利用することができました。

では、SSLサーバ証明書の『認証局』とはどのようなものでしょうか?

認証局の役割とは

SSLサーバ証明書の発行と失効を行うのが認証局(CA:Certification Authority)です。
認証局は、SSLサーバ証明書を発行するにあたりウェブサイトの所有者の情報や運営組織の実在性を認証します。また、SSLの脆弱性が原因で秘密鍵を盗まれた場合は、認証局に届け出ることで直ちに失効の処理を行います。

認証局が発行するSSLサーバ証明書による身元保証

ドメイン認証1. ドメイン認証
ウェブサイトのドメインの所有者と使用者が正しいかを認証します。

実在認証2. 実在認証
ドメイン認証に加えて、組織が法的に実在しているのかを認証します。
さらに、実在認証の中に最も認証レベルが高い「EV(Extended Validation)」があります。

証明書の失効情報の公開

失効依頼を受けた電子証明書の失効処理を行うことも認証局の重要な役割であり、SSL通信の脆弱性に対応するためには、この役割が欠かせません。

SSLの脆弱性が原因で、電子証明書の所有者が悪意のある第三者に秘密鍵を盗まれた場合、悪意ある第三者が本来の所有者になりすますことが可能になります。「なりすまし」による被害を防ぐために、秘密鍵の所有者は認証局に届け出を行い、証明書の失効処理を行ってもらうことができます。

また、認証局は失効した証明書のリストを公開します。その方法は次の2つに大別されます。

1. CRL(Certificate Revocation List)の配布

認証局が失効させた電子証明書のリストを配布します。利用者はCRLを確認することで、電子証明書が失効していないかを確認することができます。

2. OCSP(Online Certificate Status Protocol)による問い合わせへ応答

電子証明書の失効問い合わせのためのプロトコルです。電子証明書の提示を受けたアプリケーションは、その電子証明書の有効性をOCSPに問い合わせます。OCSPは管理している失効リストに問い合わせのあった電子証明書がないかどうかを確認し、返答します。

認証局の役割

このように、認証局に「秘密鍵の失効依頼」をすることで、その後も安心してSSL通信を行うことができるのです。

認証局の種類

電子証明書を発行する認証局には、パブリック認証局とプライベート認証局の2種類があります。

1. パブリック認証局

パブリック認証局一般的なウェブブラウザやメールソフトには、パブリック認証局が発行する電子証明書のルート証明書があらかじめ組み込まれています。ルート証明書の配布やインストールが不要であり、取引先など外部とのやり取りに電子証明書を利用する場合には、改めて様々な設定をする必要がないため、便利です。なお、GMOグローバルサインはパブリック認証局の1つです。

2. プライベート認証局

プライベート認証局 パブリック認証局に対して、企業などが独自の運用基準を設けて設立するプライベート認証局もあります。ルート証明書の配布や設定などがパブリック認証局に比べて煩雑になりますが、運用規程が自由に設定できます。社内だけなど、限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。

まとめ

昨年からSSLに関する様々な脆弱性の問題が明らかとなりました。しかし、各脆弱性に対する適切な対処を行い、さらに認証局が発行したSSLサーバ証明書を使用してSSL 通信を行っていれば、SSL暗号化通信は引き続き安全に行うことができます。

次回のブログでは、2014年10に発覚した脆弱性『POODLE』について、改めて解説を行いたいと思います。

関連リンク

SSLサーバ証明書とは
認証局 (CA:Certification Authority)とは?
ルート認証局の信頼性

トピック関連記事

#

2021年07月28日

SMSを利用したフィッシング詐欺「スミッシング」から身を守るには

脆弱性/マルウェア

#

2014年12月10日

POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大

脆弱性/マルウェア

#

2020年08月17日

事例から考える、テレワークにおける不正アクセス防止対策

クライアントセキュリティ
脆弱性/マルウェア

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。