2015年11月20日金曜日

SSLサーバー証明書の購入時に注意すること - 導入前確認編 - | ライタス株式会社

前回の記事に続き、技術面からSSLサーバー証明書の導入に関して、気をつけなければならないポイントを概説したいと思います。

注意ポイント1:暗号の強度

暗号の強度と言われても難しいと思いますが、重要なポイントです。
現在、だいたいの証明書ベンダーは2048bit以上の鍵を使った証明書でないと発行してくれない状態になっていますが、たまに1024bit長の鍵を受容するベンダーがあるようなので、秘密鍵の作成のときには、注意が必要です。
また、SHA-2での申請を要するようになってきましたので、そちらも証明書ベンダーの手順書などでご確認ください。
Symantec(元Verisign)は、楕円暗号方式をサポートしている証明書ベンダーなのでより強固な暗号化を実施したい場合はこちらも選択肢に入るかと思います。


注意ポイント2:記載内容

CSRを作成するときに、フレンドリ名や組織の内容を記載しますが、記載を極力正確に記載します。特にドメイン名(FQDN)を間違えると、せっかく購入した証明書が無駄になってしまうことがあります。


注意ポイント3:中間証明書

中間証明書とは、ルート証明書とサーバー証明書をつなぐ役割を果たす証明書です。文字で書いてもよくわからないので、絵を用意しました。

中間証明書をインストールするのはサーバー側なので、ここをミスするとサーバー証明書を入れた意味がありません。
中間証明書をチェックするサイトもありますので、インストール後にそちらでチェックすることをおすすめします。
また、クロスルート証明書が必要なケースもありますので、必ずインストールする際には、ベンダーが公開しているインストール手順にしたがって行う必要があります。



注意ポイント4:証明書のバックアップ

証明書のインストールが終わったら、証明書のバックアップを取得することをおすすめしています。
これは、サーバー証明書を再発行するときは有料になってしまうことや、ハードウェアに障害が発生したなどの場合に素早く復旧するときに使うことを想定してのことです。
バックアップした証明書の保管は、頭を悩ませるポイントですが、可能な限りネットワークに置かず、暗号化を施した後、CD-RやUSBメモリに保管し、金庫などで保管というのが、良さそうなシナリオです。他にもセキュアな場所に保管するのが良いと思います。ここはコストとセキュリティのバランスでお選びください。
秘密鍵の漏洩は、絶対避けなければならないインシデントですので、厳重に管理しましょう。


以上、いかがでしたでしょうか。
他にも注意すべきポイントがあったら、是非お知らせください。

0 件のコメント:

コメントを投稿