SSL と TLS 証明書は依然として Web サイトのセキュリティに不可欠な要素であり、包括的なセキュリティ監査は今日の脅威の状況においてさらに多くの内容を網羅します。新しい脆弱性が絶えず出現するため、監査では堅牢な保護を確保するために幅広い管理を検査する必要があります。
トランスポート層セキュリティ(TLS)以前は SSL で保護されていたほとんどの Web トラフィックが保護されるようになりました。 SSL 名は残りますが、プロトコル自体は固有の弱点に対処するために置き換えられました。 TLS 1.3 では、速度や暗号化の向上などの重要な進歩が実現しています。それでも、証明書は監査人が検証する XNUMX つの側面にすぎません。
厳格なセキュリティ監査により、以下を含む複数のシステム層が検査されます。
- ファイアウォールルール
- パスワードポリシー
- ソフトウェアパッチレベル
- 侵入テスト
- イベントログ監視
- 従業員の管理
監査人は、インタビュー、スキャン、ロギング、侵入の試みを通じて、セキュリティ体制のあらゆる側面を調査します。企業全体の視点から、侵害されやすいギャップを特定します。
たとえば、サーバーやアプリケーションが古いと、攻撃者がネットワークの奥深くまで侵入してアクセスをエスカレートできる可能性があります。同様に、取得したパスワードにより、システム間でのアクセスが許可される場合があります。総合的な監査は多層防御を導入することでこのようなシナリオを防ぎます。
SSL.com は、ID とサーバー証明書を通じて、この多層保護の主要なコンポーネントを提供します。ただし、証明書だけでは真のセキュリティを構成できないことを私たちは認識しています。そのためには、操作を有効にしながら脅威をブロックするための調整された制御が必要です。定期的な包括的な監査は、真のセキュリティとリスク軽減に対する組織の取り組みを実証します。
HSTS による HTTPS の強制
監査人は、HTTP Strict Transport Security (HSTS) ヘッダーをチェックします。HSTS ヘッダーは、次の方法でブラウザーに HTTPS を強制します。
- HTTP リクエストを HTTPS に自動的にリダイレクトします。
- SSLストリッピング攻撃を阻止する
- 混合コンテンツの問題の防止
HSTS は SSL 実装を強化し、一般的な攻撃を軽減します。
Cookieのセキュリティ設定
監査人は Cookie 設定を検査して、XSS などの攻撃から保護します。
- セキュアフラグ – Cookie が HTTPS 経由でのみ送信されるようにします。
- HttpOnly フラグ – JavaScript による Cookie へのアクセスを停止します。
- 同じサイト – クロスサイトリクエストでの Cookie の送信を防止します。
Cookie の設定が不適切であると、Web サイトが盗難や改ざんの危険にさらされてしまいます。
SSL /TLS 監査における中心的な役割
セキュリティ監査では、システム、ポリシー、手順を包括的に評価し、悪用される前に脆弱性を特定します。
次のような脅威を考慮すると、SSL 構成は重要な焦点となります。
- データの引き出し – 古いプロトコルにより、パスワード、メッセージ、クレジット カード、健康記録などが傍受される可能性があります。
- 注入されたマルウェア – 暗号化されていない接続により、中間者攻撃によるマルウェアの注入が可能になります。
- ドメインのなりすまし – 無効な証明書はフィッシングやブランドの損傷を促進します。
監査人は、すべてのサービスにわたる完全な SSL 実装を完全に検証します。これも:
- ECDHE キー交換と AES-256 暗号化を使用する暗号スイート。
- 証明書の有効性、キー、署名、失効。
- 最新 TLS プロトコルのみ。混合コンテンツはありません。
- すべてのリスニング ポートで脆弱性スキャン。
問題を修正してセキュリティを強化し、コンプライアンス違反や違反を防ぎます。
SSL /TLS 監査チェックリスト
監査の準備をする際には、次の基準を確認することが重要です。
- 最新 TLS プロトコルのみ – SSLv2、SSLv3、 TLS 1.0、 TLS 1.1.
- 混合コンテンツの禁止 – HTTPS ページ上の HTTP リソースをすべて削除します。
- 有効な証明書 – 有効期限が切れる 30 日以上前に更新し、署名と失効を確認してください。
- セキュア Cookie の設定 - HttpOnly および Secure フラグが適切に有効化されています。
- 証明書インベントリ – すべての証明書の詳細な集中リスト。
- 完全なチェーンの検証 – 必要な中間体をすべて含めます。
- パッチ管理 – 関連するセキュリティ更新プログラム、特に SSL ライブラリをインストールします。
- 脆弱性の監視 – 弱い暗号スイートまたはプロトコルを積極的にスキャンします。
修復の必需品
監査結果を受け取ったら、すぐに優先順位を付けて脆弱性に対処します。
- 高リスクおよび中リスクの所見を直ちに修正します。
- 調査結果を優先順位ごとに系統的に解決する計画を立てます。
- ポリシー、手順、テクノロジーのアップグレードを実装します。
- 再テストして完全な解決を検証します。
- 学習に基づいてトレーニング プログラムを更新します。
- 修復中はチーム間で継続的なコミュニケーションを維持します。
- コンプライアンス フレームワークを利用して改善のベンチマークを行います。