コンテンツにスキップ

Insecure TLS Ciphers supported

安全でないTLS暗号スイートのサポート

説明

Transport Layer Security(TLS)は、クライアントが安全な接続を要求し、サポートされている暗号スイート(cipher suites)のリストを提示することから始まります。

暗号スイートは、認証、暗号化、メッセージ認証コード(MAC)、および鍵交換アルゴリズムのリストです。プロトコルのネゴシエーション中、各アルゴリズムは特定の役割を果たします。たとえば、脆弱なアルゴリズムを使用すると、チャネル全体のセキュリティに重大な影響を与える可能性があります。

エンドポイントが、既知の暗号化の弱点を持つ暗号スイートおよびSecure Sockets Layer / Transport Layer Security(SSL/TLS)プロトコルの組み合わせをサポートしていることが確認されました。したがって、効果的なトランスポート層のセキュリティを維持するために、これらに依存するべきではありません。接続を盗聴できる攻撃者は、通過するトラフィックに影響を与えたり、復号化したりできる可能性があります。

以下のすべての構成で暗号化の弱点が実証されています:

  • 非推奨のSSLプロトコル(v2またはv3)のサポート
  • 128ビット未満の鍵を提供する暗号スイートのサポート
  • BEAST攻撃に対して脆弱な、バージョン1.1未満のTLSプロトコルと組み合わせてCBCモードを提供する暗号スイートのサポート
  • CRIME攻撃に対して脆弱なTLS内での圧縮の使用
  • 暗号としてRC4を提供する暗号スイートのサポート
  • 暗号としてDESを提供する暗号スイートのサポート
  • 署名アルゴリズムとしてMD5を提供する暗号スイートのサポート

推奨事項

推奨されるTLS構成では、以下の推奨事項を適用する必要があります:

  • TLSv1以上に制限し、TLS1.2を推奨します
  • SSLv3が必要な場合は、プロトコルのダウングレード攻撃を防ぐためにTLS Fallback SCSV機能を実装することをお勧めします
  • Anonymous Diffie-Hellman(ADH)を無効にする
  • aNULLおよびeNull暗号スイートを無効にする
  • 鍵交換のエクスポートスイートを無効にする
  • RC4のサポートを削除する
  • DESのサポートを削除する
  • MD5のサポートを削除する
  • SHA1よりもSHA256を優先する
  • 256はセキュリティ上の利点が少なく、タイミング攻撃(timing attacks)に対する堅牢性が低いため、AES256よりもAES128を優先する
  • クライアント主導の再ネゴシエーションを無効にする
  • TLS圧縮を無効にする
  • 128ビットより大きい鍵長の暗号のみを提供する
  • Perfect-Forward Secrecy(PFS)のプロトコル特性を持つ暗号スイートを提供する(DHEECDHE
  • Logjam攻撃から保護するためにカスタムDiffie-Hellmanグループを使用する
  • HTTP Strict Transport Security(HSTS)ヘッダーフィールドを実装する
  • OSCP staplingを実装する

Mozilla SSL Configuration Generatorを使用して生成されたNginx用の安全なTLS構成の例:

    server {
        listen 443 ssl;

        # SERVER HELLOでクライアントに送信される証明書はssl_certificateに連結されます
        ssl_certificate /path/to/signed_cert_plus_intermediates;
        ssl_certificate_key /path/to/private_key;
        ssl_session_timeout 1d;
        ssl_session_cache shared:SSL:50m;
        ssl_session_tickets off;

        # DHE暗号スイートのDiffie-Hellmanパラメータ、推奨は2048ビット
        ssl_dhparam /path/to/dhparam.pem;

        # 最新の設定。必要に応じて調整してください。
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK';
        ssl_prefer_server_ciphers on;

        # HSTS (ngx_http_headers_moduleが必要) (15768000秒 = 6ヶ月)
        add_header Strict-Transport-Security max-age=15768000;

        # OCSPステープリング ---
        # ssl_certificateのURLからOCSPレコードを取得し、キャッシュする
        ssl_stapling on;
        ssl_stapling_verify on;

        ## Root CAと中間証明書を使用してOCSP応答の信頼チェーンを検証する
        ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

        resolver <IP DNS resolver>;

        ....
    }

リンク

基準

  • OWASP_ASVS_L2:
    • V6_2_3
  • OWASP_ASVS_L3:
    • V6_2_3
  • PCI_STANDARDS:
    • REQ_2_2
    • REQ_4_2
    • REQ_6_2
    • REQ_6_3
    • REQ_6_4
    • REQ_11_3
  • SOC2_CONTROLS:
    • CC_2_1
    • CC_4_1
    • CC_6_7
    • CC_7_1
    • CC_7_2
    • CC_7_4
    • CC_7_5
  • HIPAA_CONTROLS:
    • SECURITY252
    • SECURITY212
    • SECURITY213