Copyright Symantec Corporation. All rights reserved. Symantec と Symantec ロゴは Symantec Corporation または関連会社の米国およびその他の国における登録商標です その他の会社名 製品名は各社の登録商標または商

P

A

P

E

R

:

White Paper

SSL サーバ証明書に関する

代表的な FAQ（よくある質問）10 選

2

Copyright © Symantec Corporation. All rights reserved.　Symantec と Symantec ロ ゴ は、 Symantec Corporation または関連会社の米国およびその他の国における登録商標です。その他の会社名、製 品名は各社の登録商標または商標です。 合同会社シマンテック・ウェブサイトセキュリティは、本書の情報の正確さと完全性を保つべく努力を行っています。 ただし、合同会社シマンテック・ウェブサイトセキュリティは本書に含まれる情報に関して、（明示、黙示、または法 律によるものを問わず）いかなる種類の保証も行いません。合同会社シマンテック・ウェブサイトセキュリティは、 本書に含まれる誤り、省略、または記述によって引き起こされたいかなる（直接または間接の）損失または損害に ついても責任を負わないものとします。さらに、合同会社シマンテック・ウェブサイトセキュリティは、本書に記述さ れている製品またはサービスの適用または使用から生じたいかなる責任も負わず、特に本書に記述されている製品 またはサービスが既存または将来の知的所有権を侵害しないという保証を否認します。本書は、本書の読者に対し、 本書の内容に従って作成された機器または製品の作成、使用、または販売を行うライセンスを与えるものではあり ません。最後に、本書に記述されているすべての知的所有権に関連するすべての権利と特権は、特許、商標、ま たはサービス ･ マークの所有者に属するものであり、それ以外の者は、特許、商標、またはサービス ･ マークの所 有者による明示的な許可、承認、またはライセンスなしにはそのような権利を行使することができません。 合同会社シマンテック・ウェブサイトセキュリティは、本書に含まれるすべての情報を事前の通知なく変更する権利 を持ちます。

CONTENTS

FAQ#1 ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？ （このWebサイトで提示されたセキュリティ証明書は、別のWebサイトのアドレス用に発行されたものです ） 5 FAQ#2 ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？ （このセキュリティ証明書は、信頼する会社から発行されていません） 6 FAQ#3 ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？ （このWEBページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません） 7 FAQ#4 SSLサーバ証明書の取得にはCSRが必要ですが、どうすればCSRを準備できますか？ （ウェブサーバにApacheを利用の場合） 8 FAQ#5 ウェブサーバのリプレイスや設置場所の変更、レンタルサーバ会社の変更をする場合に何か 手続きは必要ですか 10 FAQ#6 SSLサーバ証明書取得に際して申請書類が必要になりますか 11 FAQ#7 ドメイン名使用権確認とはどんな手続きですか 12 FAQ#8 中間証明書のインストールは必ず必要ですか 13 FAQ#9 インストールした証明書が正しく実装されているかどうすればわかりますか 14 FAQ#10 Heartbleed -OpenSSLの脆弱性とは何ですか 16

4 シマンテックでは SSL サーバ証明書に関するよくあるご質問をナレッジベースとして公開しております※_{¹。本ドキュメントでは、} SSL サーバ証明書に関してよくある質問の中から特にお問合せの多い 10 の質問と回答をまとめました。WEB サイトの SSL 暗 号化通信の検討およびサーバ証明書導入時の参考にしてください。 FAQ 10 選 1 ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？（この Web サイトで提示されたセキュリティ_{証明書は、別の Web サイトのアドレス用に発行されたものです ）} 2 ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？（このセキュリティ証明書は、信頼する会_{社から発行されていません）} 3 ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？_{証明書は、有効期限が切れているかまだ有効ではありません）} （この WEB ページで提示されたセキュリティ 4 SSL サーバ証明書の取得には CSR が必要ですが、どうすれば CSR を準備できますか？（ウェブサーバに Apache を利用の場合） 5 ウェブサーバのリプレイスや設置場所の変更、レンタルサーバ会社の変更をする場合に何か手続きは必要ですか 6 SSL サーバ証明書取得に際して申請書類が必要になりますか 7 ドメイン名使用権確認とはどんな手続きですか 8 中間証明書のインストールは必ず必要ですか 9 インストールした証明書が正しく実装されているかどうすればわかりますか 10 Heartbleed -OpenSSL の脆弱性とは何ですか ※ 1： https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=home

FAQ#1

ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？

（この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行さ

れたものです ）

ブラウザから サーバ証明書を導入したサイトに SSL 接続すると、以下のメッセージが表示される場合があります。

ブラウザ 警告メッセージ

Internet Explorer 7 以降 この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたもの

です Firefox （ 証明書のコモンネーム ） は不正なセキュリティ証明書を使用しています。この証明書は （ 証明書のコ モンネーム ） にだけ有効なものです。 Chrome このサイトは目的のサイトでない可能性があります。 これらの警告は、SSL 接続の際にブラウザで指定した URL と、接続先ウェブサイトに設定されているサーバ証明書のコモンネーム （FQDN）が一致しない場合に表示され、偽物のウェブサイトである可能性を示します。認証局事業者はドメイン名の所有状況を 確認した上で証明書を発行します。ブラウザは SSL 通信を始める前に、証明書のコモンネームと、アクセスしようとしているサー バの URL が一致していることを検証し、一致しない場合は警告を表示します。例えば、IP アドレスなど、コモンネームと一致しな い URL でアクセスした場合などもこの警告が表示されます。 ウェブサイト運営者の場合は正しいコモンネームの SSL サーバ証明書をインストールしてください。ウェブサイト訪問者の場合は IP アドレスではない正しいコモンネームでアクセスするか、正しいコモンネームでアクセスしているにも関わらず警告が表示される 場合はサーバ管理者へ問合わせてください。 FAQ 参考文献 この Web サイトで提示されたセキュリティ証明書は、別の Web サイトのアドレス用に発行されたものです https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22881

6

FAQ#2

ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？

（このセキュリティ証明書は、信頼する会社から発行されていません）

ブラウザから サーバ ID を導入したサイトに SSL 接続すると、以下のメッセージが表示される場合があります。

ブラウザ 警告メッセージ

Internet Explorer 7 以降 この Web サイトで提示されたセキュリティ証明書は、信頼された証明機関から発行されたものではあり

ません Firefox （ 証明書のコモンネーム ） は不正なセキュリティ証明書を使用しています。発行者の証明書が不明であ るためこの証明書は信頼されません。 Chrome 無効なサーバ証明書です （ 証明書のコモンネーム ） にアクセスしようとしましたが、サーバから無効な証明書が提示されました。 原因として以下が考えられます。 1. 中間 CA 証明書が正しく設定されていない 2. 信頼された認証局から発行された証明書がインストールされていない ▪ ▪ ウェブサイト運営者の場合は FAQ#4 を確認の上、ウェブサーバに中間 CA 証明書をインストールしてください。中間 CA 証明書 が正しくインストールされていない場合、証明書を検証できないため警告メッセージが表示されます。 ▪ ▪ ウェブサイト訪問者の場合は、信頼された認証局から発行された証明書であるかを、証明書の発行者情報で確認してください。信 頼された認証局から発行された証明書がインストールされていない場合、アクセスを控えることを推奨します。 本項目の詳細および発行者情報については以下の FAQ を参考にしてください。 FAQ 参考文献 このセキュリティ証明書は、信頼する会社から発行されていません https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22874

FAQ#3

ウェブサイト訪問時に次のような警告メッセージが表示されますが、どうすればいいのですか？

（この WEB ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではあ

りません）

SSL サーバ証明書を導入しているサイトに SSL 接続すると、以下のメッセージが表示される場合があります。

ブラウザ 警告メッセージ

Internet Explorer 7 以降 この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。

Firefox 接続の安全性を確認できません Chrome このサイトのセキュリティ証明書は失効しています 証明書にはその信頼性を保つために必ず有効期限が設定されています。有効期限を過ぎてしまうと信頼性を確認できない証明書と して、警告メッセージが表示されます。 ※ PC の日付設定が適切でないために警告が表示されることもあります。

証明書の有効期間が切れている場合

ウェブサイト運営者は有効な証明書を取得し、有効期限切れ証明書を置き換えてください。ウェブサイト訪問者の場合は信頼性の 低いウェブサイトにアクセスしている可能性があるのでアクセスを控えることを推奨します。 有効な証明書を更新取得しているにも関わらず警告が表示される場合は、証明書の設定が正しく完了していません。ウェブサーバ の設定を再確認してください。

証明書が有効期間内の場合

以下 2 点を確認してください。 ▪ ▪ 最新の中間 CA 証明書がインストールされていない可能性があります。 FAQ ＃ 4 を確認のうえ、ウェブサーバに最新の中間 CA 証明書を設定してください。 ▪ ▪ 警告が表示されるブラウザのバージョンを確認してください。

バージョン 5.00 以前の Internet Explorer は、ブラウザ標準のルート証明書が有効期限切れを迎えています。Internet Explorer（Windows 版）5.01 以降 のバージョンを利用してください。

FAQ 参考文献

この Web ページで提示されたセキュリティ証明書は、有効期限が切れているかまだ有効ではありません。

8

FAQ#4

SSL サーバ証明書の取得には CSR が必要ですが、どうすれば CSR を準備できますか？（ウェ

ブサーバに Apache を利用の場合）

作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。 以下の手順では、OpenSSL が /usr/local/ssl/bin にインストールされている状態を想定しています。

Step 1：秘密鍵と CSR の生成

1. 秘密鍵を作成します。 2048bit の秘密鍵（ファイル名：private.key）を作成する場合の例

#　./openssl genrsa -des3 -out （秘密鍵ファイル名） （キー長）

例： openssl genrsa -des3 -out private.key 2048 秘密鍵生成時には、必ず 2048bit を指定してください。

2. パスフレーズの入力を求められるので任意のフレーズを入力し、［Enter］キーを押します（同じフレーズを 2 度入力します）。

ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。

3. 指定したファイル名 （private.key） で、秘密鍵ファイルが作成されます。

4. 作成した秘密鍵ファイルから CSR を生成します。

#　./openssl req -new -key （秘密鍵ファイル名） -out （CSR ファイル名）

例： openssl req -new -key private.key -out server.csr

5. 秘密鍵のパスフレーズの入力を求められます。 秘密鍵作成時に指定したパスフレーズを入力し、［Enter］キーを押します。 6. 続いて、ディスティングイッシュネーム情報を順に入力していきます。 各項目の入力要領は、以下の FAQ を確認してください。 →CSR にはどのような情報を入力すればよいのでしょうか 以下の例は、SSL サーバ証明書（サーバ ID）申請用 CSR のディスティングイッシュネーム登録例です。 【Country ( 国名 )】 半角大文字で JP と入力し、［Enter］キーを押します。 【State( 都道府県名 )】 （例：Tokyo） 都道府県名をローマ字表記で入力し、［Enter］キーを押します。 【Locality( 市区町村名 )】 （例：Chuo-Ku） 市区町村名（都道府県の 1 つ下のレベル）をローマ字表記で入力し、［Enter］キーを押 します。 【Organizational Name( 組織名 )】 （例：Sample K.K.） サーバ証明書申請団体の 正式英語組織名（会社名・団体名）を入力し、［Enter］キーを 押します。 【Organizational Unit( 部門名 )】 （例：System1、System2 など） 部門名・部署名など、任意の判別文字列を入力し、［Enter］キーを押します。 ※ 同一コモンネームでの複数申請は、この項目の指定文字列を変更して申請件数分 CSR を生成します。 【Common Name( コモンネーム )】 （例：https://www.sample.co.jp/ の場合 → www.sample.co.jp）

サーバ証明書を導入するサイトの URL（SSL 接続の際の URL：FQDN）を入力し、［Enter］ キーを押します。

これ以降以下の様な項目が表示される場合、入力不要です。 何も入力せず［Enter］キーを押して進んでください。 Email Address [ ]:

A challenge password [ ]: An optional company name [ ]: CSR が生成されます。 生成された CSR は、認証局の証明書申請サイト（ストアフロント）の申請情報入力画面に貼り付けます。 ※ この CSR はサンプルです。申請には利用できません。

Step 2：秘密鍵のバックアップ

「Step 1：秘密鍵と CSR の生成」 の手順 （2.） で作成した秘密鍵ファイルをバックアップします。 注意：サーバ証明書は、申請に利用した CSR の生成元秘密鍵との正しい組み合わせ以外にはインストールできません。 FAQ 参考文献 Apache + OpenSSL CSR 生成手順 ( 新規 ) https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23384 「EV SSL 証明書」申請用 CSR については、指定の値でのディスティングイッシュネーム登録が必要です。 [EV SSL 証明書 ]CSR の生成時の注意点について また、EV SSL 証明書で日本語組織名を指定する場合は、特別な注意点がいくつかありますので予め認証局が提供するサポート情報をご確認 ください。 EV SSL 証明書の日本語組織名の登録

10

FAQ#5

ウェブサーバのリプレイスや設置場所の変更、レンタルサーバ会社の変更をする場合に何か手続

きは必要ですか

現在利用中のシステムからキーペアファイル（秘密鍵と SSL サーバ証明書）をエクスポート / インポートすることにより、引き続 き取得した証明書を利用できる場合は、連絡や手続きは必要ありません。まず、移行先の環境が、エクスポートしたキーペアファ イルを インポートできる環境かを事前に確認してください。（レンタルサーバを利用の場合はレンタルサーバ会社へ確認してくださ い。）移行する場合は、必ず事前に有効なキーペアファイルをエクスポートしてください。エクスポートしたキーペアファイルをインポー トできない場合や、有効なバックアップがない場合は、認証局が用意している再発行機能を利用して証明書を再発行してください。 ▪ ▪ ウェブサーバアプリケーションの仕様やエクスポート / インポートの手順、互換性の有無などについては、各アプリケーションの 開発元に確認してください。 ▪ ▪ シマンテック サーバ ID は有効期限内であれば 6 回まで無償で再発行が可能です。インストールできない場合は、CSR を作成し なおして再発行してください。 FAQ 参考文献 ウェブサーバのリプレイスや設置場所の変更、レンタルサーバ会社の変更をする場合に何か手続きは必要ですか https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22946

FAQ#6

SSL サーバ証明書取得に際して申請書類が必要になりますか

認証局や証明書の種類など申請条件により、以下の様な申請団体の実在性を証明する書類などが必要になることがあります。シマ ンテックの場合はお客様に代わり登記事項証明書を代行取得するのでほとんどの場合 CSR 以外にあらかじめ準備する書類（データ） は不要です。まれに次のような申請書の準備をお願いすることがあります。

□申請団体区分による書類

公法人 管轄公的機関発行から 3 か月以内の「公法人証明書」をご用意ください。 国家資格取得者事務所（弁護士、 公認会計士、税理士、弁理士、 司法書士、行政書士、社会保険 労務士） 各資格ごとに必要書類が異なります。詳細は以下の FAQ を参照してください。 →国家資格取得者（所属事務所）への証明書発行について 一般の法人、公共団体（上記に 該当しない団体） 申請団体の実在性を証明する書類の提出は不要です。

□ドメイン名使用権確認

WHOIS に掲載されているドメイン名の所有名義と、申請団体名が一致しな い場合は、WHOIS に掲載されているドメイン名所有者様の連絡先 E メール アドレス宛てに、使用権を確認するためのメールを送信します。使用権確認 についての詳細は、「FAQ＃7ドメイン名使用権確認について」ご覧ください。

□在籍証明書

証明書発行前の電話認証の段階で、証明書発行機関からの申請団体の人事・ 総務部門へお電話をし、申請責任者様の在籍確認を実施します。電話での 在籍確認が不可な場合に限り、在籍証明書の提出が必要になります。

□代表電話番号を証明する書類

電話認証を実施する際は、申請団体の代表電話番号が、帝国データバンク（COSMOSNET）または 東京商工リサーチ（tsr-van2） NTT 番号案内サービス 、「職員録」（公共団体） から確認できる場合は、データベースで確認した電話番号へご連絡します。代表 電話番号を証明する書類の提出は不要です。指定したデータベースで電話番号を確認できない場合、以下いずれかの用意をお願 いします。 1. データベースへの電話番号公開 2. 電話認証から書類認証への認証方法の切替え 3. 電話番号を証明する書類 FAQ 参考文献 [SO23235] どのような申請書類が必要になりますか（申請手続き・書類チェック項目） https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23235

12

FAQ#7

ドメイン名使用権確認とはどんな手続きですか

SSL サーバ証明書の申団体名が WHOIS に掲載されている所有者名と一致しない場合、以下の方法でドメイン名（サブドメイン含 むコモンネーム単位、またはドメイン名単位）の使用権確認が必要となります。シマンテックの場合以下の方法で確認が行われます。

[ 確認方法 1] WHOIS 掲載のメールアドレス宛 E メールによる使用権確認

WHOIS に掲載されている連絡先 E メールアドレス（登録者：Registrant、管理担当者：Administrative、技術担当者： Technical 等）を確認します。 【送信先例】 属性型 JPドメイン 「登録担当者」「技術連絡担当者」の情報画面（リンク先）に掲載されている E メールアドレス宛てに E メールを送信します。 [ 確認方法 1] で使用権を確認できなかった場合、 [ 確認方法 2] を実施します。

[ 確認方法 2] " 規定ホスト名 + @ドメイン名 " 宛 E メールによる

使用権確認

ドメイン名の前に以下のホスト名 @ を付加した宛先に、ドメイン名の使用権 を確認する E メールを送信します。 認証担当者からメールを受信された担当者より、『ドメイン名所有者がサーバ 証明書申請団体にドメイン名の使用を許可する』旨の返信を得られた場合は 確認完了となります。

[ 確認方法 3] ドメイン管理者への電話による使用権確認

WHOIS に掲載されている担当者情報（登録者：Registrant、管理担当者： Administrative、技術担当者：Technical 等）を確認します。ドメイン所 有団体所属の担当者でること、また連絡先電話番号が掲載されていることを 確認できた場合に限り "[確認方法3] 電話による使用権確認" を実施します。 [ 確認方法 1]、[ 確認方法 2]、[ 確認方法 3] のどの方法でも確認できなかっ た場合は、今度は認証部門から技術担当者へ状況報告の連絡をします。メー ルでの回答が得られず、また [ 確認方法 3] を実施できない場合は以下 [ 確 認方法 4] を実施します。

[ 確認方法 4] ドメイン名所有者が提出する使用権許諾書類による確認

認証局にて、WHOIS に掲載されているドメイン名所有者情報①を確認し、 その連絡先を第三者データベース②で調べます。 確認できた連絡先に電話連絡③のうえ、使用権許諾書類の作成・提出④を 依頼します。 ドメイン名所有者より、規定を満たした書類を受領し、サーバ証明書申請団 体にドメイン名の使用権があることを確認します。 各確認方法の詳細は以下を参考にしてください。 FAQ 参考文献 [SO23241] ドメイン名使用権確認について https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO23241

FAQ#8

中間証明書のインストールは必ず必要ですか

SSL サーバ証明書は、通常複数の階層構造で有効性を検証するしくみになっています。 SSL 接続の際、ブラウザは下層から順に証明書をたどり、最上位のルート証明書までを確認して証明書の真贋を検証しています。 ブラウザが正しく検証できるように、取得した証明書とあわせて認証局が提供している中間層の証明書（クロスルート設定用証明書・ 中間 CA 証明書）もウェブサーバにインストールする必要があります。 4 階層（シマンテック セキュア・サーバ ID / グローバル・サーバ ID / EV SSL の場合） ルート証明書（ブラウザに標準で格納されています） ┗ クロスルート設定用証明書（共通のクロスルート設定用証明書をダウンロードし、ウェブサーバにインストールします） ┗ 中間 CA 証明書（各製品専用の中間 CA 証明書をダウンロードし、ウェブサーバにインストールします） ┗ End Entity （例：購入した SSL サーバ証明書：取得後、ウェブサーバにインストールします） シマンテックのセキュア・サーバ ID、グローバル・サーバ ID 及び、EV SSL 証明書は、2 つの中間 CA 証明書（クロスルート設 定用証明書・中間 CA 証明書）を挟む 4 階層の階層構造です。クロスルート設定用証明書、中間 CA 証明書が設定されていないと、 ブラウザが証明書を検証できず、無効なサーバ ID と認識されます。

中間 CA 証明書の入手

シマンテック セキュア・サーバ ID、グローバル・サーバ ID、EV SSL 証明書 中間 CA 証明書 ( 三階層目・各製品専用 ) クロスルート設定用証明書 ( 二階層目・製品共通 ) グローバル・サーバ ID EV グローバル・サーバ ID EV 用中間 CA 証明書 クロスルート設定用証明書 セキュア・サーバ ID EV セキュア・サーバ ID EV 用中間 CA 証明書 グローバル・サーバ ID グローバル・サーバ ID 用中間 CA 証明書 セキュア・サーバ ID セキュア・サーバ ID 用中間 CA 証明書 ※ 中間 CA 証明書とクロスルート設定用証明書が 2 枚 1 組になったファイルは、こちらをご参照ください。

中間 CA 証明書のインストール

保存した中間 CA 証明書を、ウェブサーバにインストールしてください。 各アプリケーションごとのサーバ ID インストール手順を確認してください。 →シマンテック （サーバ ID） と 中間 CA 証明書 のインストール FAQ 参考文献 中間 CA 証明書のインストールについて https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22871

14

FAQ#9

インストールした証明書が正しく実装されているかどうすればわかりますか

証明書の実装確認は以下のチェックサイト（米国シマンテック）で出来ます。 →https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp チェックしたいウェブサイトの URL（「https://」 以降の FQDN）を入力 し [Check] ボタンをクリックします。 結果が表示されます。3 階層で証明書のチェーンが確認できれば問題あ りません。 以下の表示の場合は、クロスルート設定用証明書が設定されていない、 もしくはクロスルート設定用証明書が送信できていません。 ※ イン スト ー ル チェックは 問 題 な い が　「Recommendations」　 「Update your certificate chain.」 と表示され、2 階層の証明書

チェーンになっている。

全てのブラウザや携帯電話からアクセスできるように、クロスルート設定 用の中間 CA 証明書をサーバへインストールもしくは送信できるように設 定してください。

■ OpenSSL 1.0.1 系の脆弱性確認方法

ウェブサイトの OpenSSL 1.0.1 系の脆弱性 (OpenSSL Heartbleed vulnerability) 有無は、証明書チェックサイトで確認する ことが出来ます。Heartbleed に関しては、FAQ#9 を参考にしてください。

OpenSSL 1.0.1 系の脆弱性がウェブサイトに存在する場合の表示例

脆弱性が存在する場合、[This site has the Heartbleed vulnerability. ] と表示されます。

OpenSSL 1.0.1 系の脆弱性がウェブサイトに存在しない場合の表示例

脆弱性が存在しない場合、[This site is safe from the Heartbleed vulnerability. ] と表示されます。

FAQ 参考文献

インストールした証明書の確認方法 ( チェックサイトでの確認方法 )

16

FAQ#10

Heartbleed -OpenSSL の脆弱性とは何ですか

OpenSSL とは、オープンソースの暗号ソフトウェアライブラリで、サーバーなどが SSL/TLS と呼ばれる暗号方式を利用するため に使用されます。OpenSSL は、Apache や Nginx といったウェブサーバーに使われており、他にも SSL 通信を行うアプリケーショ ンなどに広く使われています。 SSL サーバ証明書 認証局（シマンテック） 企業（ウェブサイトなど） 一般消費者 ブラウザ / モバイルアプリ ウェブコンテンツ (GIF, CGI など） サーバアプリ (Apache, Nginx など） OS (Linux など） SSL 通信 https:// ②ブラウザとウェブサーバ間で  SSL 通信が行われる Open SSL が 使われるのはここ ①企業顧客が SSL サーバ証明書を購入し、  ウェブサイトなどにインストール OpenSSL と 「SSL サーバ証明書」は、異なるものです。

Heartbleed は、OpenSSL がその拡張機能 Heartbeat を利用している場合に SSL 通信を行うためのチェック機能を果たしてい ないバグを突いた攻撃です。SSL/TLS の問題でも、SSL サーバ証明書の危殆化という事ではありません。 ※ Heartbleed は、以下の条件で問題が発生します。 ▪ ▪ SSL 暗号通信を行うサーバ ▪ ▪ OpenSSL の拡張機能“Heartbeat”の利用 ▪ ▪ OpenSSL の特定のバージョン（1.0.1 から 1.0.1f） Heartbleed の脆弱性を狙われることで、以下の情報が漏えいします。 ▪ ▪ 通信情報（パスワード、クレジットカード番号、セッション ID などの個人情報） ▪ ▪ サーバ証明書の秘密鍵※ ※秘密鍵が盗まれることにより、SSL 暗号通信が解読され証明書を偽サイトに悪用されてしまう可能性があります。

Heartbleed による攻撃の仕組みは？

Heartbeat は、実際の通信が発生していない間でも TLS セッションの接続を維持する、TLS プロトコルの拡張機能です。この 機能によって、双方のコンピュータがまだ接続状態にあり、通信可能であることが確認されます。最初の接続が切断された場合でも、 もう一度セキュア接続を確立するときに資格情報を再入力する手間も省けます。 ウェブサイトの管理者の対策 ▪ ▪ OpenSSL を修正版（1.0.1h 以降）に更新 *　（または Heartbeat 拡張機能を使わない） ▪ ▪ OpenSSL の更新後、SSL サーバ証明書を再発行　（シマンテックとジオトラストは、無償で再発行） ▪ ▪「SSL サーバ証明書」の入れ替えが完了したら、古い証明書は失効 ( リボーク ) の手続き ▪ ▪ エンドユーザーのパスワードをリセットすることも検討

* OpenSSL1.0.1g には Heartbleed とは別の新たな脆弱性（CVE-2014-0224）が検出されたため、1.0.1h への更新を推奨しています。

FAQ 参考文献 Heartbleed について http://www.symantec.com/content/ja/jp/enterprise/images/outbreak/Heartbleed_vulnerability.pdf シマンテックでは本稿でご紹介した FAQ 以外にもたくさんの FAQ をサポートサイトでご案内しています。SSL の実装、利用で不 明なことがあれば情報源の一つとしてご活用ください。 https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=home