Más contenido relacionado
La actualidad más candente (20)
Similar a SSLの最新トレンド (20)
SSLの最新トレンド
- 3. SSLへのニーズ
▶ニーズ
© 2015 J-Stream Inc. All Rights Reserved. 3
大項目
マーケターニーズ
Google検索のランクダウン
SSLサイトからのリファラ取得
HTTP/2 基本的にSSLが使用される(非暗号版が実装されるか未定)
ブラウザ実装
FireFox:非SSLサイトへの機能制約(予定)
Chrome:非SSLサイトへのワーニング表示(ベータ機能)
動画のSSL化
Youtube:対応済み
Netflix:2015年9月より開始、2016年中に完了
米国連邦政府 連邦機関の全サイトをSSL化(期限:2016年12月31日)
iOS9アプリ ATS (TLS1.2+ Forward Secrecy必須)がデフォルトで有効化
- 7. SSLトラフィック比率
© 2015 J-Stream Inc. All Rights Reserved. 7
出典: The Cost of the “S” in HTTPS , David Naylor
https://www.cs.cmu.edu/~dnaylor/CostOfTheS_slides.pdf▶ヨーロッパのあるISP
▶加入者数:2万5千
- 8. SSLトラフィックの現状
▶SSLトラフィック比率(北米2014年下期)
© 2015 J-Stream Inc. All Rights Reserved. 8
固定:19.16% モバイル:26.15%
Netflix 34.89Youtube 19.75
Youtube 14.04Facebook 19.05
その他HTTP 8.62その他HTTP 11.44
Facebook 2.98その他MPEG 6.32
BitTorrent 2.80Netflix 4.51
iTunes 2.77Instagram 4.49
MPEGその他 2.66SSL 4.03
Amazon Video 2.58iTunes 3.20
SSL 2.14Google Cloud 3.07
Hulu 1.41Pandora Radio 2.72
出典:トラフィック比率:Sandvine’s Global Internet Phenomena Report 2H 2014
https://www.sandvine.com/trends/global-internet-phenomena/
鍋島追記:黄色枠がけ・TLSトラフィック比率算出
- 9. SSL化のコスト
▶SSL化のコスト
© 2015 J-Stream Inc. All Rights Reserved. 9
証明書費用 無料証明書も登場
リクエスト遅延 SSLハンドシェイク(TCPの倍)、失効確認(CRL:1秒~、OCSP:0.5秒~)
サーバ負荷 パフォーマンス1/10程度
クライアント負荷 主にフィーチャーフォン(スマホになり楽になった)
IPアドレス SSL証明書は1枚に付き(最低)1 IPアドレス消費
SSL設定 最適な暗号、最適なソフトウェアの選択
緊急パッチ適用 2014年度は3回(HeartBleed、Poodle、Freak)
- 10. SSL無料証明書
▶Let’s Encrypt
▶Internet Security Research Group (ISRG)
▶サービス開始:2015年11月16日
▶ルート証明書:IdenTrust (DST Root CA X3)へのクロスルート
▶StartSSL
▶StartCOM社
▶1年間有効な証明書
▶WoSign Free SSL Certificate
▶WoSign社
▶3年間有効な証明書(マルチドメインも可能)
© 2015 J-Stream Inc. All Rights Reserved. 10
- 12. IPアドレス対策:SSL SNI (Server Name Indicator)
▶SSLにおけるバーチャルホスト機能
▶SSL ハンドシェイク
▶SNIを使わない場合、ホスト名は使わない
▶非対応
▶Android 2.x、Windows XP、Java6、古めのテレビ、ガラケー、PSP、PS3
© 2015 J-Stream Inc. All Rights Reserved. 12
・Client Hello (サポートしている暗号方式)
接続したいホスト名 (SNI)
・Server Hello (使用する暗号方式)
・Server Certificate (サーバのSSL証明書)
www.example.jp
198.51.100.10 198.51.100.10
名前引き
SSL通信
- 16. ブラウザのセキュリティ強化:透かし入り証明書
▶透かし入り証明書 (Certificate Transparency, CT)
▶認証局が証明書を発行する際に、全ての証明書発行の証跡を、第三者の監査
ログに記載する仕組み
▶事例: 2015年9月14日
▶Thawte (ソート、Symantec子会社)
▶google.com、www.google.com用 EV SSL証明書のプレ証明書を発行
▶Google
▶CTログのチェックにより不正発行を発見
▶Chrome
▶2015年2月1日以降のEV証明書に対するグリーン表示
▶認証局がCTに対応
▶2015年1月1日に作成したホワイトリストに含まれる
© 2015 J-Stream Inc. All Rights Reserved. 16
- 17. その他:Forward Secrecy
▶Forward Secrecy (前方秘匿性)
▶概要
▶SSL証明書の秘密鍵が漏洩しても、過去の通信に対する解読を不可能にする
▶通信用の共通鍵
▶一般
▶クライアントが生成⇒SSL証明書の公開鍵で暗号⇒サーバに通知(サーバは、
SSL証明書の秘密鍵で復号)
▶Forward Secrecy
▶アルゴリズム(Diffie-Hellman系)により生成
▶ECDHE (Elliptic Curve Diffie-Hellman key exchange, Ephemeral)
• iOS ATS対応
▶DHE、ECDH
© 2015 J-Stream Inc. All Rights Reserved. 17
② 通信の共通鍵による暗号化
① 共通鍵の共有
楕円曲線 短命