モノノフ日記

普通の日記です

WAS Forum Developer Dayに行ってきました #1

event

7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum

午後から私用があったので午前だけ参加してきました。
普段行く勉強会よりスーツの人の割合が高かった気がします。

どのプレゼンも30分に収めるには短いと感じられるボリュームの発表ばかり + 発表レベルも高かったので、あまりメモが追いついていませんが公開します。

追記
1エントリーにまとめると長くて読みづらいので分割しました。

EV SSLの意義と課題

  • 日本電子認証協議会(JCAF)の人
    • 会社の紹介スライドは時間無いのでカットw
SSLの機能
  • 暗号化
  • 身元確認
    • 通信をしているのは正しい相手か?
SSL証明書の種類
  • SSLにもいらない機能が出てきた
  • 組織認証
    • 組織の確認をした証明書
    • 不特定多数がアクセスするサイトで利用
  • ドメイン認証
    • 身元確認をせず、ドメインのみの認証
    • 組織内での利用を想定
    • 手間を省く
  • 自己署名
  • 認証区分と暗号強度は無関係!
問題点
  • エンドユーザにはSSLの区分が困難
    • 発行基準が多様化しているため
  • 鍵マークへの信頼を逆手に取り、フィッシングサイトに悪用
SSLのまとめ
  • 暗号化と身元確認のプロトコル
  • 匿名でも取得可能な証明書が利用可能になった
  • 身元確認の重要性が置いていかれている状況
  • 身元確認の有無が一般ユーザには判断が難しい状況
EV SSLの登場
  • CABFがEVガイドラインを制定
  • JCAFの設立
    • 日本語版ガイドラインの作成、国内での標準化
    • 日本の法体系に沿う運用の提案
  • EV SSL対応ブラウザ
    • IE7, Firefox3, Opera9.5
EV SSLを一言で
  • SSL証明書の審査発行基準の標準化
  • ユーザが身元確認しやすい
発行基準の標準化
  • 20社以上の発行局が世界共通のガイドライン
  • 審査基準の定義
    • 法的実在
    • 物理的実在
    • 運用実在
  • 外部監査が義務
  • アドレスバーが緑になると、実在確認してるSSL
EV SSLの先にあるもの
  • EV仕様範囲の拡大
  • 全世界標準の企業認証の仕組み
  • ホワイトリストからトレーサビリティへの移行
EV SSLの課題
  • 暗号アルゴリズムの世代交代
  • 対応ブラウザの普及
    • 携帯および組み込みブラウザ
    • 実装に関するガイドラインが無い
      • IE7, Firefox3, Opera9.5でそれぞれ実装方法が異なっている
  • 日本語(多言語)の取り扱い
  • 企業におけるドメインの管理
    • 大企業はドメイン管理がルーズだったりする
      • SIerに丸投げ、など
    • ドメインの取得者とサイト運営者が異なると確認の手間が増える
  • 費用対効果への理解
    • EV証明書は高い
EV SSLのアルゴリズム移行
  • MD5(非推奨),SHA-1も脆弱性が発見されてる
  • 2048ビットの鍵長にするガイドラインが発表
    • RSA2048
EV SSLのまとめ
  • 普及のためには携帯対応が不可欠
  • 言語の問題もある
  • 暗号アルゴリズムの世代交代も高コスト
FAQ
  • EV SSLでもアドレスバーが緑にならない場合があるのはなぜ?