SSL鍵長2048ビット実装に関するベストプラクティス

総論

セキュアソケットレイヤ(SSL)は、Web にとって不可欠な技術であり続けています。衰えることのないeコマーストラフィック量の増加と、インターネットを通じた個人情報の送信量の継続的な増加により、SSL はもはや「実装することが望ましい」機能ではなく、完全な必須機能となっています。情報を保護するための要件は、誰でも簡単に使えるハッキングツール(Firesheep など)の世界的な普及により更に強化されています。これにより、アプリケーションのオーナーは、SSL Everywhere (すべてにSSL)やAlways-On SSL (常にSSL) のような方針を採用し、機密性の高いアプリケーションのコンポーネント(ログインページなど)だけでなく、アプリケーション全体を暗号化することを検討する必要があります。

また、単にSSL を使用することに加えて、暗号の強度も重要です。実際、セキュリティコミュニティは、SSL を使用するあらゆるアプリケーションは、これまでの事実上の標準である1024bit のSSL 鍵長から、2048bit (またはそれ以上)の鍵長へと移行する必要があるとのコンセンサスに達しています。1024bit から2048bit へと鍵長を倍増することにより、暗号強度は飛躍的に向上します。一方、インフラストラクチャの観点からは、2048bit 鍵長は、1024bit 鍵長の5~30 倍の処理能力が必要となります。

2048-01

図1:2048bit 鍵長がもたらす影響

つまり、アプリケーションの性能を維持するためには、企業は自社のアプリケーションデリバリコントローラ(ADC)およびSSL インフラストラクチャをアップグレードする必要性が生じます。具体的には、2048bit 鍵長用に性能が最適化された、マルチテナント環境においてテナントごとに専用のSSL 処理リソースを提供できるCitrix®NetScaler®のようなADC を選択することを検討する必要があります。これらの要因をきちんと検討せずにADC を選択すると、エンドユーザーエクスペリエンスの务化を引き起こすことになりかねません。また、その結果として、2048bit 鍵長が性能に与える影響を解決するために、インフラストラクチャのアップグレードを行うことになり、予期せぬ高額なコストをかけることになりかねません。

2048-02

図2:2048bitSSL向けに最適化されたADCを選択すること

この内容をPDFで読む

2048bit SSLの実装に関する ベストプラクティス(PDFダウンロード)