SSL/TLSサイトの脆弱性・弱鍵対策はそのサイトが属する業界に左右されるのか? : renegotiation機能とRSA鍵長に関するクローリングで得られたこと(通信セキュリティ,一般)
スポンサーリンク
概要
- 論文の詳細を見る
SSLおよびTLSプロトコルに中間者攻撃があることが2009年に指摘され,結果的にRFC5746が発行され仕様上の問題は解決されていると認識されている.しかし後方互換性を維持しない対策であることから対応されていないサイトは未だに多く残されている.加えてブラウザ主導のRenegotiation機能はDoS攻撃を誘発することが知られており,攻撃ツールの存在も確認されている.また今年8月にマイクロソフトが公開した1024ビット未満の証明書を受け入れない対策に見られるように,1024ビット以下のRSA鍵は利用すべきでないという共通認識が広まりつつある.地方自治体および大学のサイトについて上記脆弱性の対策状況についてクローリングすることで状況を把握する先行研究がある.本稿はクローリングする対象サーバを拡げ,対策が重視されているべきだと考えられるサイトが属するカテゴリとそうでないカテゴリで対策の割合に違いがあるかどうかについて考察を行った.
- 2012-11-15
著者
関連論文
- SSL/TLS renegotiation 機能の脆弱性に伴なう移行における問題点
- SSL/TLS renegotiation機能の脆弱性に伴なう移行における問題点
- L-039 X.509との後方互換性を持つ新しい公開鍵証明書フォーマット(L分野:ネットワーク・セキュリティ,一般論文)
- AI-2-5 セキュリティプロトコル仕様の脆弱性事例と世代交代困難性(AI-2.暗号アルゴリズムの世代交代-新世代アルゴリズムへの移行-,依頼シンポジウム,ソサイエティ企画)
- 国際会議CRYOT0 2011報告
- 国際会議CHES 2011報告
- SSL/TLSサイトの脆弱性・弱鍵対策はそのサイトが属する業界に左右されるのか? : renegotiation機能とRSA鍵長に関するクローリングで得られたこと(通信セキュリティ,一般)
- IaaS/HaaSへのService Defined Infrastructure(SvDI)適用の検討(インターネット運用・管理,一般 SDN/クラウドインフラ)
- SSL/TLSサーバにおけるForward Secrecyへの対応状況について(+速報版Heartbleed Bug発覚後の状況変化)
- XORを用いる秘密分散法の多値化とそれを用いた秘匿計算法
- XORを用いる秘密分散法の多値化とそれを用いた秘匿計算法