HTTPS設定ファイル生成ツール0.6(ベータ版)

簡易設定情報

ガイドラインの種類： 種々のガイドを参考に2015年11月時点での超オススメ設定(by @kjur) CRYPTREC/IPAガイド(2015.05版)高セキュリティ型 - 高いセキュリティを求める医療・金融、政府機関等向け CRYPTREC/IPAガイド(2015.05版)推奨セキュリティ型 - 標準的な設定 CRYPTREC/IPAガイド(2015.05版)セキュリティ例外型 - 古いフィーチャーフォン、ゲーム機も対象に含む場合 Mozilla Modern Compatibility Profile - 高セキュリティ Mozilla Intermediate Compatibility Profile - 中セキュリティ(デフォルト) Mozilla Old Backward Compatibility Profile - 低セキュリティ Bulletproof SSL and TLS - recommended(中) Bulletproof SSL and TLS - compatibility(低) Qualys社のブログによる推奨設定 OpenSSLデフォルト設定 RedHat Linuxデフォルト設定 CentOS 6デフォルト設定 Ubuntu 12デフォルト設定 よくあるデフォルト設定

サーバーソフトウェアの種類： Apache HTTP Server 2.4 Apache HTTP Server 2.2 nginx lighttpd

a) Pinにマッチさせる証明書のPEM(SSLサーバー証明書や中間CA証明書等)

b) Pinにマッチさせないバックアップの証明書もしくはPKCS#8公開鍵のPEM

生成された設定ファイルの一部

本ツールの説明

「CRYPTREC/IPA SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～」 の発行を記念しまして、ウェブサーバーのSSL設定ファイルを生成するツールのベータ版を公開します。 本ツールは、CRYPTOREC/IPAのガイドラインで定義されている「高セキュリティ型」 「推奨セキュリティ型」「セキュリティ例外型」の設定に加え、Mozillaや他のプロファイルの 推奨設定もメニューで選ぶだけで簡単に生成できます。

現時点ではベータ版のため、

• Apache 2.4系、Apache 2.2系、nginx、lighttpdのssl.conf設定ファイルしか生成できない。
• 暗号スイート、プロトコル、暗号スイート順序、TLS圧縮オフ、Public Key Pinningしか設定されない。
• OCSP stapling、HSTSなどは未対応。(近日対応予定)

本ツールは、@kjur が個人的に作成したものであり、CRYPTRECやIPAにより公開されているページではありません。バグ報告や問題のご指摘はこちらのバグトラッカーで日本語でお知らせください。

使用方法

• 準拠したいガイドラインのパターンを選択します。例えば、「CRYPTREC/IPA SSL設定ガイド 推奨セキュリティ型」など選択します。
• 設定対象のウェブサーバーのソフトウェアを指定します。例えば Apache 2.4 などを選択します。
• Certificate Pinning(Public Key Pinning)のヘッダ情報を設定したい場合には、PEMテキスト形式の証明書を コピーペーストします。 SSLサーバー証明書からルート証明書の手前の中間CA証明書までをa) b) c)に順にコピーペーストしてください。 中間証CA証明書は2段まで対応しています。例えば、ルート＞中間＞サーバー証明書の3段である場合には、 a) b) にのみ登録し c) は空欄としてください。
• 「生成」ボタンを押せば、ガイドに従った設定ファイル(の一部)が下に表示されます。
• 生成された設定ファイル(一部)の内容を設定し、動作確認する。

注意事項

必ずテスト環境および本番環境で、期待された動作をするかご確認ください。

参考リンク

• ガイドライン：
  • CRYPTREC/IPA SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～
  • Mozilla Wiki: Security/Server Side TLS
  • Bulletproof SSL and TLS by Ivan Ristic
  • QUALYS BLOG: Configuring Apache, Nginx, and OpenSSL for Forward Secrecy
  • Cipherli.st: String Ciphers for Apache, nginx and Lighttpd
  • NIST SP 800-52r1 Guidelines for the Selection, Configuration, and Use of TLS Implementation (Apr 2014)
• 他サイトSSL設定ファイル生成ツール：
  • Mozilla SSL Configuration Generator
  • JavaScript Public-Key-Pins (HPKP) calculator v1.0.2
• 各ソフトウェアのサーバーSSL設定マニュアル：
  • nginx: odule ngx_http_ssl_module
  • lighttpd: Secure HTTP
• その他学習資料：
  • Mozilla Developper Network: Public Key Pinning
  • Internet Week 2014 講演資料 サーバーのSSL/TLS設定のツボ
  • JNSA PKI Day 2015 講演資料 SSL/TLS生誕20年、脆弱性と対策を振返る
  • 「RFC 7525 TLSとDTLSの安全な利用に関する推奨事項」の公開

補足説明

Public Key Pinningのために、証明書をテキスト添付するのは気持ち悪いと思われるかもしれませんが、 ご安心ください。 すべての処理はブラウザのJavaScriptで行われ、サーバーに送信することもなく、 HTMLファイルとJavaScriptファイルさえあれば、オフラインでも実行することができます。 具体的には自作のjsrsasignという、 JavaScript暗号ライブラリを使って、PEM形式のX.509証明書を解析し、SubjectPublicKeyInfoから 公開鍵を取り出し、ハッシュ計算し、Pinning用のヘッダ値を生成しています。

ニュース

• 2015.06.21 - 0.5ベータ版 Bulletproof SSL and TLSへの対応。SSL/TLSガイドで記載された Certificate Pinningの記載誤り(Backup Pin)への対応
• 2015.05.16 - 0.4ベータ版 lighttpdに対応
• 2015.05.15 - 0.3ベータ版 nginxのMozillaのガイドのprotocol値の誤りの修正
• 2015.05.14 - 0.2ベータ版 nginx設定、TLS圧縮オフに対応　 (CRYPTRECガイドにはAppendixに圧縮オフ設定例はなかった)
• 2015.05.13 - 0.1ベータ版 初版公開