IPA が SSL/TLS の適切な設定のためのガイドラインを公表

HTTPS などインターネットでセキュアな通信をするために必要となるのが SSL や TL S ですが、キーを生成して証明書を入れれば OK という単純な認識をされていることが多く、適切な設定がされていないことがしばしば問題になります。

これまでにも、暗号化の設定のベストプラクティスを提供するサイトとして BetterCrypto.org や Generate Mozilla Security Recommended Web Server Configuration Files などを取り上げましたが、日本語で読めて、しかもチェックリストもついているという至れり尽くせりのガイドラインが IPA から公表されました。

SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～：IPA 独立行政法人 情報処理推進機構

「SSL/TLS暗号設定ガイドライン」は、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視し、実現すべき安全性と必要となる相互接続性とのトレードオフを踏まえたうえで、実際に設定すべき「要求設定項目」として3つの設定基準（「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」）を提示しています。

ちゃんと保護の水準を設定した上できちんとした設定ができるようになっているところがいいですね。