トップページ > 記事閲覧
サーバーのSSLのセキュリティについて
投稿日 | : 2015/10/19(Mon) 19:33 |
投稿者 | : sachi |
参照先 | : |
サーバーのSSLのセキュリティについてですが
(FTPS/IMAPS/POP3S/SMTPS/HTTPS)
1.TLS 1.2への対応予定はあるのでしょうか?
例として共用SSLは
ss1.xrea.com 非対応
ss1.coressl.jp 対応
ss1.valueserver.jp 対応
のようですがss1.xrea.comもソフトウェアの更新などで対応される予定はないのでしょうか?
2.SSLでSSL 3.0/RC4などの脆弱性が見つかっている暗号化方式の無効化やDiffie-Hellman鍵交換での2048bit対応などはされる予定はあるのでしょうか?
3.SSLではないですが
現在のXREAサーバーはセキュリティサポートが終了したPHP3/4/5.2/5.3/5.4も利用できるのでしょうか?
https://principle-works.jp/blog/php-5-6-is-out-of-system-requirements-of-magento-1/
以下のURLを見る限り使用できるように思えます。
http://xrea.com/spec/
セキュリティのことも考え古いバージョンのサポート終了も含めてご検討いただければ幸いです。
4.メールサーバーや管理画面のSSLについてですが
共有SSLでなくデフォルトドメイン名で利用できるように仕様変更をご検討いただけないでしょうか?
現在は管理画面は共用SSL
メールサーバーは
サーバー名の.を-に変えた名前.value-domain.com
ですがこれではわかりにくい感じがします。
両方ともワイルドカード証明書を利用されてはいかがでしょうか?
https://jp.globalsign.com/service/ssl/managed_ssl/wildcard.html
例 XREA *.xrea.com
CORESERVER *.coreserver.jp
VALUESERVER *.valueserver.jp
この場合管理画面
例
https://s1.xrea.com/jp/
メールサーバー
例
s1.xrea.com
でSSL接続できるようになり利便性が向上すると思います。
ご検討いただければ幸いです。
5年以上前からXREAを利用しておりサーバー増強後かなり安定していてすごく満足していますがサービス利用開始時と比べてもSSL関係でいくつかセキュリティ上の脆弱性が発見されるなど状況は変わってきています。
今後も安心して利用できるよう今一度設定の再確認などよろしくお願いします。
Re: サーバーのSSLのセキュリティについて
投稿日 | : 2015/10/30(Fri) 11:12 |
投稿者 | : スタッフ ◆E/OpKM6SnFQ |
参照先 | : |
sachi 様
長きにわたり、弊社サービスをご利用いただき、誠にありがとうございます。
また、ご回答が遅くなり、申し訳ございませんでした。
いただきました件につきまして、以下、ご回答申し上げます。
┌───────────
│1.TLS 1.2への対応予定
└───────────
XREA の共用SSL、ss1.xrea.com につきましては、バージョンアップさせていただきました。ご迷惑をおかけしました。
各サーバーの FTPS/IMAPS/POP3S/SMTPS 対応につきましては、セキュリティ上、対応状況につきましては明確にお答えいたしかねますが、もし対応していないものが有ったとしましても、お客様への影響を考慮した上で、勿論、対応してまいります。
┌──────────────────────
│2.脆弱性が見つかっている暗号化方式の無効化や
│ Diffie-Hellman鍵交換での2048bit対応など
└──────────────────────
SSL 3.0/RC4などの無効化につきましては、対応いたしております。
また、Diffie-Hellman鍵交換での2048bit対応につきましては、1024bit の鍵長で現実的な脅威にはならないと考えております。
勿論、PCのマシンパワーが高まれば脅威になり得ますので、今後のアップデートを検討しております。
┌────────
│3.PHPバージョン
└────────
XREA では現在対応しているのは、5.3、5.4、5.5、5.6 でございます。
http://xrea.com/spec/ につきましては、記載内容の更新漏れでございましたので、修正させていただきました。大変失礼いたしました。
また、5.3、5.4 等古いバージョンについては、バージョンアップにより古くからお使いのお客様でサイトに不具合が発生する可能性があるため、すぐには終了いたしかねますが、将来的には利用停止を検討いたしております。
動作に問題ないのであれば、5.5以降を推奨しておりますが、自己責任のもと、5.3等をお使いいただく分には許可をさせていただく方がユーザー様にメリットがあると、現時点では考えております。
┌────────────────
│4.メールサーバーや管理画面のSSL
└────────────────
バリューサーバーにつきましては対応済みでございます。
XREA、コアサーバーにつきましては、単純に証明書を入れ替えてしまいますと、古い証明書が無効となりますので、共用SSLのリンクをページ内に直接記入されているユーザー様、メールクライアントにて *.value-domain.com を設定されているユーザー様などに大きな影響が及びます。
これを回避できないか調査・検証中でございますので、将来的には対応する可能性はございます。
以上、何卒よろしくお願い申し上げます。
Re: サーバーのSSLのセキュリティについて
投稿日 | : 2015/11/03(Tue) 21:30 |
投稿者 | : sachi |
参照先 | : |
返答ありがとうございます。
1.ss1.xrea.comのTLS 1.2への対応ありがとうございます。
2.Diffie-Hellman鍵交換の1024bit鍵長では現実的な脅威にはならないとの御見解についてですが
ここのページにはApache 2.4.7より前はDiffie-Hellman鍵交換は1024bit固定とありました。
ttps://wiki.mozilla.org/Security/Server_Side_TLS#Apache
(RHEL 6系のApache 2.2はバージョンによっては変更可能になっているようです)
今後対策としては以下のページのTwitterのようにDHEを非サポートでECDHEに新たに対応となるのでしょうか?
http://blog.livedoor.jp/k_urushima/archives/1728348.html
3.またiOS9でApp Transport Securityという機能が追加されましたがこのSSLの必要要件について現時点でXREA/CORESERVER/VALUESERVERでは対応されているのでしょうか?
http://dev.classmethod.jp/smartphone/iphone/ios-9-intro-ats/
4.管理画面のSSL化について現在の共有SSL経由だけでなく個々のサーバー側でHTTPS接続できるようにされる予定はないのでしょうか?
最近のブラウザはRSAの他に処理負荷の低いECCの証明書にも対応しているものがあります。
http://internet.watch.impress.co.jp/docs/news/20130215_587803.html
例としてCloudflareのSSLサービスではECCのサーバー証明書が利用されているようです。
http://uzulla.hateblo.jp/entry/2015/02/25/033133
証明書のSANに複数のワイルドカードのあるドメイン名などを指定しているようです。
現状Globalsignの日本語ページにはECC証明書については見た限りでは特に記述がありませんでしたが英語ページにはありました。
https://www.globalsign.com/en/blog/elliptic-curve-cryptography/
ご検討いただければ幸いです。
Re: サーバーのSSLのセキュリティについて
投稿日 | : 2015/11/07(Sat) 11:10 |
投稿者 | : スタッフ ◆E/OpKM6SnFQ |
参照先 | : |
sachi 様
ご返信をいただき、ありがとうございます。
いただきました件につきまして、以下、ご回答申し上げます。
2.
基本的にご理解の方向で間違いありませんが、現時点では決定した事項としては申し上げられない状況です。
3.
保証はしておりませんが、仕様上は動作するものと思われます。
4.
仕様上は可能ですので、検討させていただきます。
詳細のご案内ができず、簡単な回答となってしまいましたことをお詫び申し上げますと共に、以上、何卒、ご容赦いただければ幸いです。
Re: サーバーのSSLのセキュリティについて
投稿日 | : 2015/11/17(Tue) 10:50 |
投稿者 | : sachi |
参照先 | : |
ご返信ありがとうございます。
1.
3.のiOS9のApp Transport Securityについてですが
現時点でXREAのss1.xrea.comにfirefoxから接続してもTLS_RSA_〜になりTLS_ECDHEになりません。
このようなサーバーについてですが今後App Transport Securityの要件を満たすよう順次ECDHE対応などをされていく予定なのでしょうか?
2.
現時点でも
ttps://s000(サーバー名)-xrea-com.value-domain.com/
にアクセスするとHTTPSでの接続ができますが(ドメイン未設定表示)今後このような形式でのSSL接続に全面的に切り替える予定はないのでしょうか?
特に管理画面はHSTS併用で常時SSL化した方がセキュリティ的にもよいと思います。
現状のss1.xrea.comの管理画面のアドレスへのアクセスに対してはURL転送を行うことで現在の利用者の利便性を保てると思います。
3.
XREAの広告についてですがSSL対応される予定はないのでしょうか?
4.
他のサービスについて現時点でSSL対応を行う予定はあるのでしょうか?
ct.xrea.com
chat.xrea.com
ax.xrea.com
よろしくお願いします。
参考
DHEについてですがiOS9のSafariでは無効になったようです。
https://www.ssllabs.com/ssltest/viewClient.html?name=Safari&version=9&platform=iOS%209
App Transport SecurityのSSL要件
https://www.ssllabs.com/ssltest/viewClient.html?name=Apple%20ATS&version=9&platform=iOS%209
SSL設定チェックツール(GlobalSign)
https://sslcheck.globalsign.com/
Re: サーバーのSSLのセキュリティについて
投稿日 | : 2015/12/04(Fri) 14:41 |
投稿者 | : スタッフ ◆E/OpKM6SnFQ |
参照先 | : |
sachi 様
ご回答が大幅に遅れてしまい、申し訳ございませんでした。
いただきました件につきまして、以下、ご回答申し上げます。
1.
現在、SSL+HTTP/2への対応を前提に、対応予定でございます。
申し訳ございませんが、現状では正式な切り替え日時が決まっておりませんので、決まり次第、アナウンスさせていただきます。
2.
バリューサーバーはご連絡いただいたような形となっておりますが、同形式への合わせる形で調整させていただく可能性はございます。ご要望を参考に、影響を精査しつつ、順次対応をさせていただく予定です。
3.
自動広告タグについては、SSL対応済みでございます。
手動広告タグについては、現在準備中でございまして、SSL+HTTP/2への対応も含め、全てが整い次第、新しい形式としてご利用いただける旨アナウンスさせていただきます。
4.
全サイトSSL化については、流れではございますが、必要なものから順次検討、対応を進めていく予定です。
アクセス解析については、来年リニューアルを予定しており、その際に、SSL+HTTP/2化予定となっております。
以上、何卒よろしくお願い申し上げます。