正しいサーバー証明書を利用している場合でも、Webサーバーのアップグレードが正しく行われていなかったり、利用暗号セットが古かったりすると、せっかくのSSLの目的が果たせなくなります。また、関連アプリケーションで新しい脆弱性が発見されることも少なくありません。そのため、機密性・安全性を確保するために運営しているSSLサイトの定期的な安全性のチェックは必須です。
しかし、SSLサイトが正しく機能するための要素は複数あり、一般的なサイト管理者には理解しにくい要素も少なくありません。
SSLサイト評価の定期的な評価に使えるのが、ここで紹介する Qualys SSL LABS SSL Server Test です。Qualys SSL LABS SSL Server Test は誰でも無料で利用できます。
Qualys SSL LABSの「SSL Server Test」はSSLサイトチェックの定番とも呼べるものです。
Googleのウェブマスター向け公式ブログ「Webmaster Central Blog」の「HTTPSをランキングシグナルに使用します」でもウェブサイトのセキュリティレベルと設定をテストできるツールとして紹介されています。
このサイトを提供しているQualys社は米国の会社で、脆弱性管理サービスなどのネットワークセキュリティの分野で高く評価されています。
Domain Nameの欄に、証明書を利用しているコモンネームを入力し、[Submit]ボタンをクリックすると、テストが開始されます(ドメイン名を入力した場合、コモンネームやSANsはツールが自動判定するようですが、自動判定されないものもあります)。
SSL Server Testでの総合評価は「A」、「B」、「C」のようなランクで示されます(下図参考)。
評価項目は、グラフ表示の「Certificate(証明書)」「Protocol Support(サポートされているプロトコル)」「Key Exchange(鍵交換)」「Cipher Strength(暗号強度)」で、100点満点で表示されます。
DigiCertの証明書を使っていれば、「Certificate(証明書)」での評価は100点になります。
グラフ下部の記載は評価の注目点を示しています。
Forward Secrecyが実施されていない場合は、ランク表示に「A-」のように – が付きます。
Forward Secrecy については「Forward Secrecy 入門」をご参照ください。
評価に追加情報がある場合は more_info のリンクがあります。詳細評価は以下に分類されています。
証明書そのものの評価です。証明書の設定は含まれません。
著名なCAの証明書を利用していれば100%になるはずです。
Configuration(各種設定)はサーバーのバージョン、セキュリティパッチ、暗号化手法などです。
ここで問題がある場合は、サーバーのマニュアルやセキュリティ情報などを確認してください。
SSL Server TestはQualys社より提供されているウェブサイトのセキュリティレベルと設定を総合的にテストするツールです。当社では、SSL Server Testの詳細についてはサポートできません。
テスト結果の詳細については、テスト結果表示に含まれるリンクや、Qualys SSL LABSの提供する資料(英文)を参照してください。