Sucuriは2月17日(米国時間)、「SSL Testing Methods」において、SSL証明書をチェックするWebサービスやソフトウェアについて紹介した。HTTPSを採用するWebサイトの数は増え続けているが、すべてのSSL構成が同じであるとは限らず、SSL証明書そのものを定量化する必要性が高まっていると指摘、そうした定量化に使えるツールを取り上げている。紹介されているサービスやソフトウェアは次のとおり。
- SSL Shopper - 4秒ほどでチェックが完了する高速SSLチェッカー。IPアドレス、サーバの種類、チェーン証明書が適切にインストールされているかどうか、証明書の発行者、証明書の期限、証明書に含まれるホスト名やワイルドカード、証明書の開始日、証明書のシリアル番号、使用されるアルゴリズムなど。なお、このサービスの結果はデフォルトではキャッシュされる。キャッシュなしの最新情報が欲しい場合は表示されるリンクから再度チェックを実施する必要がある
- Godaddy SSL Certificate Checker - SSL Shopperによく似ている。読みやすいレポート、キャッシュしない結果、トラブルシューティングなどに特徴がある。SSL Shopperよりも動作はちょっと遅い
- Qualys SSL Labs - SSL証明書について詳細に調査できるサービス。テスト時間は数分から数十分。さまざまな拡張項目についてもチェックが実施される。弱い暗号はオレンジ色で表示される。こうした弱い証明書は使わないことが理想だが、完全に排除すると利用できなくなるWebブラウザもあるため注意が必要
- Immuniweb - SSL構成がPCIに準拠しているかどうかを明確に示してくれるチェッカー
- OpenSSL - SSL証明書を調べることができるコマンド
- SSLyze - オープンソースのSSLチェッカースクリプトで、セットアップさえ完了すればあとは簡単に複数のドメインをテストすることができる
- Sucuri Monitoring Service - Sucuriの提供するモニタリングサービスで、SSL証明書モニタリングサービスも含まれている
-
SSL Shopperの使用サンプル
-
Qualys SSL Labsの使用サンプル
-
Qualys SSL Labs詳細調査報告 その1
-
Qualys SSL Labs詳細調査報告 その2
-
Qualys SSL Labs詳細調査報告 その3
-
OpenSSLの使用サンプル
Sucuriは完全なSSLチェッカーというものは存在していないと指摘。チェッカーごとに特徴があるとしており、必要に応じて使い分けることを示唆している。
Qualys SSL Labsといったサービスを使用すると、利用しているSSL証明書の詳細情報のみならず、使用しているWebサーバに存在しているSSL証明書関連のセキュリティ脆弱性についても調査することができる。定期的にチェックを実施することで、セキュリティを強化することにもつながる。
サイバーセキュリティ最前線 第12回 TP-Link製ルーターを米国が禁止の可能性、シャープ製ルーター(ドコモ、KDDI、ソフトバンク)に脆弱性
