対象プラン
本記事は、自動診断機能の発見課題「弱い暗号スイートをサポートしているTLSサービス/TLS Service Supports Weak Cipher Suite」について、SecurityScorecard社が公開している解説記事の日本語訳です。
本課題の解決にご活用ください。
「弱い暗号スイートをサポートしているTLSサービス」について│検出方法│修正方法│解決申請の流れ
1. 「弱い信号スイートをサポートしているTLSサービス」について
TLS(Tarnsport Layer Security)は、インターネット上の通信におけるプライバシーとデータの安全性を確保するために設計されているセキュリティプロトコルです。
ウェブアプリケーションとサーバ間の通信を暗号化する際に、古い・弱い暗号を使用している場合に「弱い信号スイートをサポートしているTLSサービス」が課題として検出がなされます。
不十分な暗号を使用している場合には、攻撃者に転送中のデータを傍受・変更される可能性があります。
2. 検出方法
SecureScorecard社(以下SSC社)では、TLS解析を暗号化プロトコルまたは公開鍵の長さのいずれかにより、弱い暗号であるかを調査しています。
証明書が発見できた場合には「証明書のドメイン」「収集対象」「ポート」「証明書のプロビジョニング」に使用したIPアドレスをリストアップしています。
注意
検知されたIPアドレスは自社保有の資産ではなく、証明書を提供するために使用されているIPアドレスが検知される場合があります。
SSC社では鍵長が不十分(128ビット未満)、または下記の鍵が使用されている場合、弱い暗号を使用していると判断しております。(2023年3月23日現在)
- md4
- md5
- rc2
- rc4
- rsa_export
- tls_dh_*_export
- tls_dhe_*_export
Tips
- 発見課題にドメイン情報が表示されるのはなぜですか?
TLSの問題はドメインベースであり、証明書のCommon NameまたはSubject Alternative Name(SAN)からドメインを抽出しているため表示されます。 - 自社保有の資産でないドメインが表示されるのはなぜですか?
コンテンツデリバリーネットワーク(CDN)を使用し、証明書を提供している際にCDNのドメインが検知されているため表示されています。
(例:Incapsula、Cloudflare、Akamaiなど) - 自社保有のHPなどでは問題がないのに、課題が検知されてしまいます。
使用しているCDNが特定のサーバで古い証明書や弱い暗号スイートを提供している場合に課題として検知されます。発見された課題のIPアドレスで状態を確認してください。 - 発見課題の数がなぜ多いのですか?
証明書のプロビジョニングを提供しているCDNは、IPアドレスを定期的にローテーションするため、それぞれのIPアドレスの結果を各固有の発見課題としてカウントしているため課題数が多くなっています。
3. 修正方法
発見課題を解決するために、最終的には強力な暗号のみをサポートし、十分に大きい公開鍵サイズをしたサーバを構成することが推奨されています。
また"TLS 1.1以下"と"RC4暗号"は、安全性を損なう複数の脆弱性が発見されているため使用を避けることを推奨しています。
Tips
強力なトランスポートレイヤーセキュリティを確保する最善の方法は、TLSの最も安全な最新バージョンである"TLS1.3"をサポートすることが推奨されています。(2023年3月23日現在)
詳細については「Why Use TLS1.3」をご参照ください。
自社で使用している暗号スイートを確認するためには、SSL/TLSスキャンツール(例:Test TLS)を使用してどの暗号を使用しているかを確認してください。
使用している暗号リストを入手し、SSCの脆弱な暗号リストを参照し弱い暗号スイートを無効化してください。
なお、Secure SketCH上では発見課題の「詳細」欄の"evidence"に、発見された脆弱な暗号が記載されております。
※上記発見課題では、以下のプロトコルを無効化する必要があります。
・TLS_RSA_WITH_RC4_128_MD5
・TLS_RSA_WITH_3DES_CBC_SHA
・TLS_RSA_WITH_RC4_128_SHA(0x0005)
・TLS_RSA_WITH_RC4_128_MD5(0x0004)
・TLS_RSA_WITH_RC4_128_SHA
・TLS_RSA_WITH_3DES_EDE_CBC_SHA
Tips
無効化する際には自社で設定している場合とサードパーティで設定している場合で無効化する方法が異なります。
CDNを利用している場合はAWS Cloudfront、Akamai 、Cloudflare など、各社のSSL/TLSガイドを参照し、必要な設定や案内に従ってください。
4. 解決申請の流れ
解決申請する際、解決方法を以下の2つより選択して申請をしてください。
解決申請の提出方法は、こちらをご参照ください。
- 誤検知であった(I cannot reproduce this issue and I think it's incorrect)
- 発生している課題に対処済み(I have fixed this)
Tips
検出された発見課題に紐づいたドメイン/IPアドレスが自社保有の資産ではない場合、登録されているデジタルフットプリントに自社が保有していない(自社管理外の)資産が登録されている可能性があります。
以下資料の[ Step.2 デジタルフットプリントの精査 ]ご確認いただき、デジタルフットプリントの精緻化を推奨いたします。