SSL/TLS Certificate Hostname Mismatch

SSL/TLS 証明書のホスト名の不一致

Risk: medium

説明

ホスト名の不一致は、SSL/TLS 証明書に指定されたドメイン名が、それが保護しているサーバーの実際のホスト名と一致しない場合に発生します。この不一致により、ブラウザでセキュリティ警告が表示され、中間者（MitM）攻撃などの潜在的な脆弱性に接続がさらされる可能性があります。

ブラウザまたはクライアントが Web サイトに接続するとき、ドメイン名が証明書の共通名（CN）またはサブジェクト代替名（SAN）フィールドのいずれかと一致するかどうかを確認します。ホスト名と証明書の間に不一致がある場合、ブラウザは「接続はプライベートではありません」などのセキュリティ警告を発行し、ユーザーの継続を思いとどまらせ、ユーザーの信頼を損なう可能性があります。これらの警告を無視すると、ユーザーは悪意のあるサイトに接続するリスクにさらされます。

ホスト名の不一致の重大なセキュリティリスクの 1 つは、MitM 攻撃の可能性です。このシナリオでは、攻撃者は別のドメインの有効な証明書を提示し、通信を傍受または改ざんしながら安全な接続の錯覚を作り出す可能性があります。このような攻撃は、ユーザーがセキュリティ警告を見落とし、不一致があるにもかかわらずサイトへのアクセスを継続する場合に特に問題となります。

ホスト名の不一致は、ワイルドカード証明書の不適切な構成、または関連するサブドメインを証明書に含めなかったことによって発生する可能性もあります。たとえば、*.example.com のワイルドカード証明書がワイルドカードでカバーされていないサブドメイン（sub.example.org など）で使用された場合、これにより不一致とセキュリティ警告がトリガーされます。

現実世界への影響: 別のドメイン名で発行された証明書を使用する企業のイントラネットを考えてみましょう。サイトにアクセスしようとする従業員はブラウザでセキュリティ警告に直面し、生産性を妨げる可能性があります。時間が経つにつれて、これらの警告に繰り返しさらされると、ユーザーはそのようなアラートに鈍感になり、将来のセキュリティ侵害のリスクが高まる可能性があります。

推奨事項

ホスト名の不一致の問題に対処するには:

1. 正しいドメイン名を使用する:
2. 証明書が、それが使用される正確なドメイン名で発行されていることを確認します。

3. 両方が使用されている場合は、ベアドメインと www サブドメインの両方を含めます。

4. サブジェクト代替名（SAN）を利用する:

5. SAN を使用して、関連するすべてのドメイン名とサブドメインを 1 つの証明書に含めます。

6. これは、複数のドメイン名でアクセスできるサービスに特に役立ちます。

7. ワイルドカード証明書の適切な使用:

8. ワイルドカード証明書を使用する場合は、それらが正しく、適切なサブドメインにのみ使用されていることを確認してください。

9. ワイルドカード証明書のセキュリティへの影響に注意し、慎重に使用してください。

10. 定期的な監査:

11. SSL/TLS 証明書の定期的な監査を実施して、証明書が使用されているホスト名と一致していることを確認します。

12. これは、ドメインの変更やサービスの移行後に特に重要です。

13. 強力なドメイン検証を実装する:

14. ドメイン検証済み（DV）またはそれ以上のレベルの証明書を使用して、ドメインの所有権が適切に検証されるようにします。

15. DNS レコードを更新する:

16. DNS レコードが最新であり、適切なサーバーを正しく指していることを確認します。

17. 証明書管理ツール:

18. ホスト名の不一致を検出して警告できる証明書管理ツールを使用します。

リンク

• OWASP Transport Layer Protection Cheat Sheet
• Mozilla SSL Configuration Generator

標準

• SOC2_CONTROLS:
  • CC_6_7
  • CC_7_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
• HIPAA_CONTROLS:
  • SECURITY252
  • SECURITY212
  • SECURITY213
• PCI_STANDARDS:
  • REQ_4_1
  • REQ_6_2