2048bitSSLの実装に関するベストプラクティス

この内容をPDFで読む

[PDF] 2048bitSSLの実装に関するベストプラクティス

総論

セキュアソケットレイヤ(SSL)は、Webにとって不可欠な技術であり続けています。衰えることのないeコマーストラフィック量の増加と、インターネットを通じた個人情報の送信量の継続的な増加により、SSLはもはや「実装することが望ましい」機能ではなく、完全な必須機能となっています。情報を保護するための要件は、誰でも簡単に使えるハッキングツール(Firesheepなど)の世界的な普及により更に強化されています。これにより、アプリケーションのオーナーは、SSL Everywhere (すべてにSSL)Always-On SSL (常にSSL) のような方針を採用し、機密性の高いアプリケーションのコンポーネント(ログインページなど)だけでなく、アプリケーション全体を暗号化することを検討する必要があります。

また、単にSSLを使用することに加えて、暗号の強度も重要です。実際、セキュリティコミュニティは、SSLを使用するあらゆるアプリケーションは、これまでの事実上の標準である1024bitのSSL鍵長から、2048bit (またはそれ以上)の鍵長へと移行する必要があるとのコンセンサスに達しています。1024bitから2048bitへと鍵長を倍増することにより、暗号強度は飛躍的に向上します。一方、インフラストラクチャの観点からは、2048bit鍵長は、1024bit鍵長の5~30倍の処理能力が必要となります。

2048bit_ssl_1

つまり、アプリケーションの性能を維持するためには、企業は自社のアプリケーションデリバリコントローラ(ADC)およびSSLインフラストラクチャをアップグレードする必要性が生じます。具体的には、2048bit鍵長用に性能が最適化された、マルチテナント環境においてテナントごとに専用のSSL処理リソースを提供できるCitrix® NetScaler®のようなADCを選択することを検討する必要があります。これらの要因をきちんと検討せずにADCを選択すると、エンドユーザーエクスペリエンスの务化を引き起こすことになりかねません。また、その結果として、2048bit鍵長が性能に与える影響を解決するために、インフラストラクチャのアップグレードを行うことになり、予期せぬ高額なコストをかけることになりかねません。

2048bit_ssl_2