TLS 1.3を採用しSSL 3.0を禁止に IPAが「TLS暗号設定ガイドライン」の第3版を公開「順守項目だが設定が難しいサーバ」のために「推奨項目」を追加

IPAセキュリティセンターは、WebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開。暗号技術評価プロジェクトのCRYPTRECが記載内容を第2版から全面的に見直した。

» 2020年07月08日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 独立行政法人 情報処理推進機構(IPA)セキュリティセンターは2020年7月7日、WebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開した。2015年以降のSSL(Secure Socket Layer)/TLS(Transport Layer Security)通信の規格化とサポートの状況を踏まえ、「2020年3月時点でのTLS通信を利用した安全性と相互接続性のバランスを考慮した」としている。

 IPAはこれまで「SSL/TLS暗号設定ガイドライン」として、2015年5月に第1版、2018年5月に第2版を公開してきた。第2版の発行後には、記載内容に大きく影響するSSL/TLS通信の規格が策定された。例えば、TLS 1.3の発行(RFC 8446)や、SSL 3.0の禁止(RFC 7525)、ChaCha20-Poly1305の追加(RFC 7905)、RC4の禁止(RFC 7465)などだ。

 そこで暗号技術評価プロジェクトであるCRYPTREC(Cryptography Research and Evaluation Committees)が記載内容を全面的に見直し、第3版を発行した。なお、第3版の発行を機に、ガイドラインの名称を従来の「SSL/TLS暗号設定ガイドライン」から「TLS暗号設定ガイドライン」に変更した。

「TLS暗号設定ガイドライン」第3版の特徴

 第3版の特徴は、大きく分けて次の3つ。

 1つ目は、TLS通信で実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」という3つの設定基準を提示したこと。

画像 従来の暗号設定ガイドラインとの差異(出展:IPA

 高セキュリティ型は、特にセキュリティが重要視されるシステムに向けた設定で、安全性を優先してTLS通信をする。

 推奨セキュリティ型は、一般的な利用形態を想定した設定で、例えば電子行政サービスや金融サービス、電子商取引サービスを提供する場合などだ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。