サーバいじくり雑記

2014年12月18日

「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響

Filed under: セキュリティ, Web — bompopo @ 10:43 AM

「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響

 企業にとって、この「通信の中身を監視できる」ことは重要である。覗き見や盗聴などではなく、通信を制御するという正しい目的のために活用できるからだ。HTTPでは、ネットワーク監視ソフトなどで通信(パケット)の中身を見ることにより、利用しているサービスやアプリケーションの種類、ユーザー識別情報など、通信の制御に使える様々な関連情報を手に入れられる。

企業はどこまでも監視したい。が、建前は、

 例えば、情報漏洩対策向け製品の中には、流れるパケットの中身を監視し、個人情報や機密情報に関連するキーワードが含まれていたらアラートを出したり通信を遮断したりできるものがある。HTTPS通信が増えると、こうした製品の有効性や利用価値が薄れるといった影響が表れる。ダウンロードによるウイルスの侵入を防ぐゲートウエイ型セキュリティ製品や、不正アクセスを受けた際の証拠保全などに使われるディジタルフォレンジック製品なども同様である。

だけど、別に証明書が無償配布されなくても、これから先もマルウェア等が生データをHTTPでそのまま通信し続けるとは限らんでしょ。オレオレ証明書でもマルウェアが裏で勝手にそれ使って通信している分にはかわらない。やはり本音は単に「監視したい」だけ。

 SSL証明書は、証明書の発行機関(認証局)がWebサイトに対して発行して終わりというものではない。証明書には「有効期限」があり、また有効期限が切れる前であっても、暗号鍵の紛失や不正利用された場合などに証明書を使えないようにする「失効(リボーク)」という処理が必要となるケースがある。この失効証明書の管理がしっかり行われなければ、その認証局が発行する証明書全体の信頼性が根底から崩れてしまう。

ここは考えてなかった。確かに失効処理がちゃんとスムーズに行われないとそれは安心しては使えない。

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。