そのサイト、本当に安全ですか？SSLの安全性評価

［目次］

常時SSL Lab.では、Webサイトの常時SSLへの対応手順をたくさんご案内してきました。

SSLサーバー証明書を購入、サーバーに設定、コンテンツを移行 … と手間のかかる作業がたくさんありますが、苦労して常時SSLに対応しても、実はその安全性に差がつく可能性があるのです。

今回はツールを利用して、WebサイトのSSLの安全性について見てみましょう。

安全性の評価ツール「SSL Server Test」

Qualys SSL LABS の提供する「SSL Server Test」は、WebサイトにおけるSSL暗号化の安全性をチェックするための無料ツールです。

Googleが公開している『HTTPS をランキングシグナルに使用します』という記事でも、「ウェブサイトのセキュリティレベルと設定をテストできます」として紹介されており、世界的に利用されています。

テキストボックスにWebサイトのドメイン名を入力して、「Submit」ボタンをクリックします。

※ 最近チェックしたWebサイトとして下部のリストに表示されたくない場合は、「Do not show the results on the boards」にチェックを入れます。

あとはしばらく待つだけです。
対象のWebサイトに対してさまざまなテストが行われ、結果が表示されます。

いくつかのWebサイトをチェックし、結果表示から安全性を確認してみました。

「A」という評価は、安全性に問題がないことを示しています。

「C」という評価は、安全性に問題があることを指摘されています。

どこに問題があるのかは、結果表示画面の下部に記載されています。

ここでは、TLS(Transport Layer Security：通信内容の暗号化などを行うインターネット上の仕組み)のバージョン「1.2」に対応していないことなどが指摘されています。

先ほど「C」評価となった同じサイトを、Google Chromeの「デベロッパーツール」で見ると、「Security」の項目で以下のようなメッセージが確認できます。

メッセージの中に何回も「obsolete」( = 時代遅れ、廃止)の単語が出ているように、SSLでの暗号化通信に利用している仕組みが古いと指摘されています。

古い仕組みには脆弱性が潜むことも多いため、SSLなのに安全性が低いという評価になってしまいます。

もっとも、これはSSLサーバー証明書だけに起因する問題ではなく、Webサイトを公開するサーバー自体が古く、新しい仕組みに対応できていないことが主な理由です。

「長年ずっと同じサーバーを使い続けている」などの場合は、どうしても低評価が出やすい傾向があるため、新しいサーバーサービスへの乗り換えを検討しても良いかもしれません。

※ 前述のテストで「A」評価を得たのは、レンタルサーバー「Zenlogicホスティング」と、無料のSSLサーバー証明書「標準独自SSL」の組み合わせになります。

これからWebサイトを公開する場合は、最新のサーバーサービスや証明書を組み合わせれば、低評価が出ることは少ないと思われます。

とはいえ、安全性が高いとされたWebサイトでも、それはあくまで現時点での評価です。

通信の暗号化は、次々と新しい仕組みが策定/標準化されているため、サーバーなどがそれに対応できないと「A」→「C」評価に下がってしまう可能性もあります。

高い安全性を維持するためには、Webサイトを定期的に「SSL Server Test」でチェックし、その都度必要な対応を実施することが重要です。

ちなみに、IPA(独立行政法人情報処理推進機構)では、以下のようなコンテンツを公開しています。

ここで公開されている資料やチェックリストなどは、「SSL Server Test」でチェックしている項目にも似ているので、きちんと対応していけば自ずと安全性の高いWebサイトになっていくといえるでしょう。