2017年3月10日金曜日

ブラウザFirefoxでサイトが安全かどうかを見分ける方法

個人情報流出がたびたびニュースで流れると、サイトが本当に安全を考慮して作られているのか不安になりますね。

また、URLが「https://~」(通信が暗号化されている)でも、脆弱性(弱点)が攻撃される時代です。

ネットショッピングやインターネット・バンキングでは、やはりサイトが安全に作られているか確認することが大事です。


そこで、今回は、ブラウザFirefoxでサイトが安全かどうかを確認する方法を紹介します。


サイトを表示した際にエラー表示が出た場合や、ショッピングやインターネット・バンキングをする際にサイトが安全かどうか確認する場合に活用ください。

なお、サイトの安全性の確認のためには、Firefoxはぜひ最新版に更新してください。

ブラウザを最新版にすることで、URLが”https://~”のときに使われている「SSL/TLS」という技術が持っている脆弱性(弱点)の対応も可能になります。



 ブラウザChromeでの確認方法は以下を参照ください。

  ブラウザChromeでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/chrome.html

 ブラウザIEでの確認方法は以下を参照ください。

  ブラウザIEでサイトが安全かどうかを見分ける方法
  http://lifesecurityup.blogspot.com/2017/03/ie.html



また、サイトの安全性を確認する方法の一つに、無料の”Webサイトの安全性診断サイト”を利用する方法もあります。詳しい使い方を以下のブログにまとめています。こちらも参考にしてください。

 ネットショップなどのサイトの安全性を簡単に判断する方法とは
 http://lifesecurityup.blogspot.com/2017/02/web.html



■ アドレスバーですぐに分かるサイトの安全性


”安全なサイト”と”不安なサイト”をアドレスバーで確認



[安全なサイト]

①アドレスバーのURLの左に”鍵マーク”の表示

②鍵マークの左のアイコン(サイトの情報)をクリックして、“安全な接続”と表示される




[不安なサイト]

①アドレスバーのURLの左に”鍵マーク”と、△に!が入ったマークが表示

②鍵マークの左のアイコン(サイトの情報)をクリックして、“この接続は安全ではありません”と表示される





■ サイトの安全性を詳しく知るには”サイトのページ情報”を確認



■(1) ”サイトのページ情報”を表示

①鍵マークの左のアイコン(サイトの情報)をクリック

②>をクリック

③[詳細を表示]をクリック

④サイトのセキュリティ情報が表示






■(2)接続(通信プロトコル)を確認

 


[安全な場合]

“接続が暗号化されています(・・TLS 1.2)”の表示があればOK






[安全ではない場合]

“一部の接続だけが暗号化されています”の表示でNG



 

NGの場合、Symantecの以下の証明書チェックサイトで詳細を確認ください

 証明書チェックサイト(Check your SSL/TLS certificate installation)
 https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

 

チェック結果の下の方に以下の表示があり、「TLS1.0」が使われておりNGです (「TLS1.2を使っていない)。

  Protocols enabled:  使われているプロトコル
  TLS1.0

  Protocols not enabled: 使われていないプロトコル
  TLS1.2
  TLS1.1
  SSLv3
  SSLv2



 


参考:
インストールした証明書の確認方法(チェックサイトでの確認方法) | Symantec
https://knowledge.symantec.com/jp/support/ssl-certificates-support/index?page=content&id=SO22875



(3) 署名アルゴリズムの確認

  「SHA-1」→× 悪用される危険性
  「SHA-2」→○ 代表的なものは”SHA-256”


証明書を表示させ、詳細タブの「Certificate Signature Algorithm」のフィールド値を確認。

① “サイトのページ情報”画面で[証明書表示]をクリック

②詳細タブをクリック

③[詳細]タブの「Certificate Signature Algorithm」(署名アルゴリズム)を確認

④フィールドの値が“SHA-256”であればOK!








■ URLが「https://」でも悪用される危険性

■  使っている通信技術「SSL/TLS」にも悪用されるバーションがある


SSL(Secure Sockets Layer)と、TLS(Transport Layer Security)はいずれも、インターネット上でデータを暗号化して送受信するプロトコルです。

WebサイトのURLが「https://~」になっていると、「HTTP」と「SSLあるいはTLS」が組み合わせて使用されています。

HTTPがそのままデータを送信するのに対して、HTTPSは個人情報やクレジットカードの情報などを、SSLやTLSで暗号化して送信しています。

SSL/TLSで、これまで使われているバージョン(2017年2月段階)には、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2があります。安全なのは”TLS 1.2”のみです。

ごく最近まで広く使用されていたSSL3.0も、重大な脆弱性であるPOODLEが発見されたことから、多くの主要ブラウザはSSL3.0を無効とした他、TLS1.0/1.1においても脆弱性があることが分かっています。



■ URLが「https://」でも悪用される危険性
■  Webサイトの証明書を暗号化する技術「SHA-1」に悪用される危険性


Webサイトの証明書(サーバ証明書)が正規のものであるかをチェックする際に使われる一種の暗号化技術(ハッシュ化アルゴリズム)に、「SHA-1」、「SHA-2」と呼ばれるものがあります。

しかし、2005年、「SHA-1」に対する効果的な攻撃法が発見され、悪用される危険性があり、今では、「SHA-1」から「SHA-2」(SHA224、SHA256、SHA384、SHA512)への移行が推奨されています。


この「SHA-1」の危険性のため、2017年の最新ブラウザでは、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から

「SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザが本物のWebサイトと区別できなくなります。本来ならば、安全な暗号化「SHA-2」を使わないといけません。