3F-B会場ではFortinet杉井さんのセッションが始まりました。早速司会者と登壇者とで音声のコリジョン発生w #janog #janog_3f_b pic.twitter.com/kw4qUvNaPJ
2020-01-23 10:01:05「そろそろSSL通信に本気出して向き合ってみる」 janog.gr.jp/meeting/janog4… #janog #janog_3F_B
2020-01-23 10:06:06最初にSSLの状況について説明。常時SSL化の対応状況は上場企業の76%、クライアント通信は約8割がSSL使用。Googleサービスではほぼ9割対応でYouTubeも常時SSL。 #janog #janog_3F_B
2020-01-23 10:08:33・実在証明 →申請者が証明書を要求→認証局が確認→認証局が証明書を発行 →ブラウザーに鍵マーク →マークをクリックすると証明書の情報がわかる →ブラウザーに信頼された認証局のリストが含まれている #janog #janog_3F_B
2020-01-23 10:08:36→オレオレ証明書だと、警告マーク付き鍵マークに →→信頼された認証局から発行された証明書ではないことを表す →DV, OV, EV 証明書 #janog #janog_3F_B
2020-01-23 10:09:54→EV証明書については、IIJ 須賀様がすでに JANOG で発表されています #janog #janog_3F_B
2020-01-23 10:10:26お題「ダークサイド」(お子さんの絵だそう) #janog #janog_3f_b pic.twitter.com/TnVi7OHUDU
2020-01-23 10:14:05杉井さん:鍵マークがあれば本当に安心なのか?: ・ドメイン名に注目してみると? #janog #janog_3F_B
2020-01-23 10:15:22杉井さん:ネットワークセキュリティ装置が手出してできない: ・E2E 通信が暗号化されていない場合 →セキュリティシステム(装置) により通信の中身を確認できる →→エクスプロイトコードやマルウェアなどを検知して #janog #janog_3F_B
2020-01-23 10:16:28フィッシングサイトと見分ける件。これ本家のアドレスも怪しいだろ #janog #janog_3f_b pic.twitter.com/489mXtstKL
2020-01-23 10:16:29・暗号化されてしまっていると →中身がわからない →→正規の Web サーバーが攻撃されてしまった場合、流れてくるコンテンツに悪いものが混じっていても検知・検査できない #janog #janog_3F_B
2020-01-23 10:17:18IIJ 須賀さん ・janog.gr.jp/meeting/janog3… ・janog.gr.jp/meeting/janog3… ・janog.gr.jp/meeting/janog4… ・janog.gr.jp/meeting/janog4… #janog #janog_3F_B
2020-01-23 10:17:47杉井さん: →実際、8割は素通し →→各ベンダーも口を閉ざしている状態 #janog #janog_3F_B
2020-01-23 10:18:27杉井さん:ダークサイド of SSL:まとめ: ・実在証明 →コンテンツの安全性は証明していない ・暗号化通信 →盗聴・改ざんのリスクはなくなる →ネットワークセキュリティ装置が無力化されてしまう #janog #janog_3F_B
2020-01-23 10:19:13杉井さん:証明書インスペクション: ・サーバーから送られてくる証明書の CN を覗き、ホスト名を得て、Web フィルタリングをある程度、実施できる #janog #janog_3F_B
2020-01-23 10:20:00・CLIENT HELLO の SNI を見る →こちらにもホスト名が含まれているので、ドメイン制御がある程度は可能に #janog #janog_3F_B
2020-01-23 10:20:31杉井さん: ・しかしどちらも、証明書レベルでの確認でしかない →ホスト名の範囲 #janog #janog_3F_B
2020-01-23 10:20:57杉井さん:SSL Deep インスペクション: ・中間者攻撃と同様のことを行う →中間にある装置とサーバーの間で SSL を終端 →クライアントと中間装置との間でも共通鍵 #janog #janog_3F_B
2020-01-23 10:22:28杉井さん: ・クライアント-中間装置、中間装置-サーバー →それぞれの間で暗号化通信を行う #janog #janog_3F_B
2020-01-23 10:23:26杉井さん:証明書エラーの対処が必要になる: ・Squid で SSL インスペクションしてみると →証明書エラーの警告が出る →証明書の発行者の問題 (オレオレ証明書と同様の状態) #janog #janog_3F_B
2020-01-23 10:25:21