コンテンツにスキップ

Outdated SSL/TLS Protocols Supported

サポートされている古いSSL/TLSプロトコル

説明

この脆弱性は、サーバーが1つ以上の古いSSL/TLSプロトコルをサポートしていることを示しています。これらのプロトコルには既知のセキュリティ脆弱性があり、現代の用途には安全ではないと見なされています。

古いプロトコルには以下が含まれる場合があります。 - SSLv2 - SSLv3 - TLSv1.0 - TLSv1.1

これらのプロトコルには、攻撃者によって悪用される可能性のあるさまざまな弱点があり、結果として以下を招く可能性があります。

  1. 中間者(MitM)攻撃
  2. 暗号化された通信の復号
  3. データ完全性の侵害
  4. より弱いプロトコルの使用を強制するダウングレード攻撃

シナリオ例: 攻撃者はSSLv3のPOODLE脆弱性を悪用して、暗号化された接続を介して送信される機密情報を復号する可能性があります。これにより、ログイン認証情報、セッショントークン、またはその他の機密データの漏洩につながる可能性があります。

これらの古いプロトコルをサポートすることは、さまざまなセキュリティ基準やベストプラクティスにも違反し、PCI-DSSなどの規制への準拠に影響を与える可能性があります。

推奨事項

古いSSL/TLSプロトコルに関連するリスクを軽減するために、以下の推奨事項を検討してください。

  1. 古いプロトコルを無効化する:
  2. すべてのサーバーとアプリケーションで、SSLv2、SSLv3、TLSv1.0、およびTLSv1.1のサポートを無効にします。

  3. 現在安全と見なされているTLSv1.2およびTLSv1.3のみを有効にします。

  4. SSL/TLSライブラリを更新する:

  5. すべてのSSL/TLSライブラリと実装が最新のセキュリティパッチで更新されていることを確認します。

  6. 安全なデフォルト設定を持ち、積極的に保守されている最新のTLSライブラリの使用を検討してください。

  7. 強力な暗号スイートを構成する:

  8. Perfect Forward Secrecy(PFS)をサポートする強力な暗号スイートを使用します。

  9. 弱い暗号化やハッシュ関数(RC4、MD5、SHA1など)を無効にします。

  10. 安全なTLS設定を実装する:

  11. MozillaのSSL構成ジェネレーターやOWASPのTLSチートシートなど、TLS構成の業界のベストプラクティスに従います。

  12. SSL LabsのSSLサーバーテストなどのツールを使用して、TLS構成を定期的にテストします。

  13. HTTP Strict Transport Security (HSTS)を使用する:

  14. クライアントが常にHTTPSを使用してサーバーに接続するようにHSTSを実装し、ダウングレード攻撃を防止します。

  15. TLS 1.3を検討する:

  16. 可能であれば、TLS 1.2よりもセキュリティとパフォーマンスが向上したTLS 1.3のサポートを有効にします。

リンク

基準

  • SOC2_CONTROLS:
    • CC_6_7
    • CC_7_1
  • CCPA:
    • CCPA_1798_150
  • GDPR:
    • ART_32
  • HIPAA_CONTROLS:
    • SECURITY252
    • SECURITY212
    • SECURITY213
    • SECURITY255
    • SECURITY258
  • PCI_STANDARDS:
    • REQ_2_3
    • REQ_4_1
    • REQ_6_5