Más contenido relacionado
La actualidad más candente (19)
Similar a さくらの夕べ 大阪 20140306 ファーストサーバセッション資料 (20)
さくらの夕べ 大阪 20140306 ファーストサーバセッション資料
- 29. 認証水準と各社証明書
拡張認証 EV
組織認証 OV
認証水準
高
CyberTrust
セキュア・サーバID EV
グローバル・サーバID
SureServer EV
低
セキュア・サーバID
グローバル・サーバID
EV
Symantec
(VeriSign)
ドメイン認証 DV
SureServer
(FirstServer)
BIZCERT
サーバセキュア化サービ
ス
GlobalSign
EV SSL
企業認証SSL
SECOM Trust
Systems
セコムパスポート for
Web EV
セコムパスポート for
Web SR
CrossTrust
StartSSL
クイック認証SSL
Enterprise SSL
StartSSL Extended
Copyright© 2014 Firstserver, Inc. All rights reserved.
Crypto SSL
StartSSL Verified
StartSSL Free
28
- 31. 証明書の中身を見てみよう
Subject
組織認証 (OV) の一例
CN = www.fsv.jp
O = Firstserver, Inc.
L = Osaka-shi
S = Osaka
C = JP
Copyright© 2014 Firstserver, Inc. All rights reserved.
SubjectAltName
DNS Name=www.fsv.jp
30
- 32. 証明書の中身を見てみよう
Subject
ドメイン認証 (DV) の一例
CN = *.tongbi.jp
O(Organization)が無い
Copyright© 2014 Firstserver, Inc. All rights reserved.
Subject
FirstServer社内CAの場合
E = info@fsv.jp
CN = www.example.jp
O = "Firstserver, Inc"
ST = Osaka
どれを書くかは自由
C = JP
31
- 34. ドメイン認証
• ドメインの管理や使用の権限を持つ者に確認
– WHOISの各担当者メールアドレス
• 登録者
Registrant
• 管理担当者 Administrative Contact
• 技術担当者 Technical Contact
– 一般的なメールアドレス
• admin@example.jp
• administrator@example.jp
• webmaster@example.jp
• hostmaster@example.jp
• postmaster@example.jp
• API
Copyright© 2014 Firstserver, Inc. All rights reserved.
認証局により異なります
33
- 35. 組織認証
• ドメイン名の利用権限
– WHOIS
– ドメイン認証
• 実在性
– 登記簿
– 第三者機関データベース
– 第三者機関の訪問または意見書など
• 商号/屋号
– 政府機関が提供する文書
– 政府機関とのメール記録
– 公共料金請求書、取引明細など
• 申請の真正性
– 組織を代表して申請しているか
Copyright© 2014 Firstserver, Inc. All rights reserved.
認証局により異なります
34
- 37. 私有鍵の安全
• 漏洩しないこと
– パーミッション
• chmod 500 私有鍵ディレクトリ
• chmod 400 私有鍵ファイル
– パスフレーズを設定
• SSLPassPhraseDialog exec:/path/to/program
• #!/bin/sh
echo “パスフレーズ”
• chmod 500 /path/to/program
• 精度の良い乱数を使うこと
– 擬似乱数のSEED
• srand( time ^ $$ ^ unpack “%32L*”, `ps wwaxl | gzip` );
• UNIX時間、プロセスID、プロセス一覧の圧縮結果の排他的論理和
• 「Programing Perl Volume2」より
Copyright© 2014 Firstserver, Inc. All rights reserved.
36
- 39. Webサーバ設定
• TLS/SSLバージョン
– apache: SSLProtocol
– nginx: ssl_protocols
• 暗号スイート
– apache: SSLCipherSuite
– nginx: ssl_ciphers
• openssl ciphers -v ’HIGH:!ADH:!MD5’
Copyright© 2014 Firstserver, Inc. All rights reserved.
38
- 42. 最も弱い環の原則
A chain is no stronger than its weakest link
(鎖はいちばん弱い輪以上に強くなれない)
Copyright© 2014 Firstserver, Inc. All rights reserved.
41