WEKO3
アイテム
国内WebサイトのSSL設定状況に関する2012年度と2013年度の比較・考察
https://ipsj.ixsq.nii.ac.jp/records/96454
https://ipsj.ixsq.nii.ac.jp/records/96454f2c2dee5-6ea1-4bc3-b735-ac395daf5c4f
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-IOTS2013005.pdf (1.3 MB)
|
Copyright (c) 2013 by the Information Processing Society of Japan
|
|
| オープンアクセス | ||
| Item type | Symposium(1) | |||||||
|---|---|---|---|---|---|---|---|---|
| 公開日 | 2013-12-05 | |||||||
| タイトル | ||||||||
| タイトル | 国内WebサイトのSSL設定状況に関する2012年度と2013年度の比較・考察 | |||||||
| タイトル | ||||||||
| 言語 | en | |||||||
| タイトル | Comparisons and observations of FY2012 and FY2013 about the SSL setting status of web sites in Japan | |||||||
| 言語 | ||||||||
| 言語 | jpn | |||||||
| キーワード | ||||||||
| 主題Scheme | Other | |||||||
| 主題 | セキュリティ | |||||||
| 資源タイプ | ||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||
| 資源タイプ | conference paper | |||||||
| 著者所属 | ||||||||
| 株式会社インターネットイニシアティブ | ||||||||
| 著者所属(英) | ||||||||
| en | ||||||||
| Internet Initiative Japan Inc. | ||||||||
| 著者名 |
須賀, 祐治
× 須賀, 祐治
|
|||||||
| 著者名(英) |
Yuji, Suga
× Yuji, Suga
|
|||||||
| 論文抄録 | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | SSL および TLS プロトコルに対してメッセージをインジェクション可能な中間者攻撃が 2009 年に指摘され,結果的に RFC5746 が発行され仕様上の問題は解決されていると認識されている.しかし後方互換性を維持しない対策であることから対応していないサイトは未だに多く残されている.加えてブラウザ主導の Renegotiation 機能は DoS 攻撃を誘発することが知られており,ユーザフレンドリな攻撃ツールの存在も確認されている.また 2012 年 8 月にマイクロソフトが公開した 1024 ビット未満の証明書を受け入れない対策や同年 11 月には NISC により電子政府システムにおいてより安全な RSA2048 への移行スケジュールが改定・明確化されたこと等に見られるように 1024 ビット以下の RSA 鍵は利用すべきでないという共通認識が広まりつつある.さらに 2012 年 11 月には圧縮機能における辞書長の違いから平文を推測する CRIME 攻撃も公開されており,今後も新しい手法を用いた攻撃が登場することが予想される.このように SSL/TLS サーバの運用においては考慮すべき対策が存在する.上記脆弱性の対策状況について 2012 年度と 2013 年度に SSLyze を用いてクローリングを行った.本稿にて比較・考察について報告する. | |||||||
| 論文抄録(英) | ||||||||
| 内容記述タイプ | Other | |||||||
| 内容記述 | In 2009, researchers released details of a vulnerability in the SSL and TLS protocols that could allow Man-in-the-Middle attacks to be carried out. IETF published countermeasures with unprecedented speed as RFC5746, however server-side implementations are not deployed because of problems in business such as the loss of opportunities and backward compatibilities. An efficient DOS attack tool using this vulnerability launched by hacker group. Also, an update that blocks RSA keys less than 1024 bits, which it is recognized should only be used by those understanding the risks involved distributed in August 2012. In November 2012, NISC published a concrete transitioning plan on government systems. Thus measures to be considered are present in the handling of SSL/TLS servers. I went crawling using SSLyze the status of measures above vulnerabilities in 2012 and 2013. This paper shows comparisons and observations. | |||||||
| 書誌情報 |
インターネットと運用技術シンポジウム2013論文集 巻 2013, p. 33-38, 発行日 2013-12-05 |
|||||||
| 出版者 | ||||||||
| 言語 | ja | |||||||
| 出版者 | 情報処理学会 | |||||||
