HTTPSインターセプトとThunder SSLiの暗号化サポートの真実
*本内容は、米国A10 Networksが発行したブログ記事の抄訳版です。 原文はこちらよりご確認ください。
A10 Networksのセキュリティエンジニアリング調査チームは、A10 Networks Thunder SSLインサイト (SSLi)を含むTLSインターセプトミドルボックスのセキュリティを調査してランク付けした「The Security Impact of HTTPS Interception(HTTPSインターセプトのセキュリティに対する影響)」というタイトルの論文を検証しました。
残念ながら、このレポートの著者たちは検証要件の適切な設定についてA10に助言を求めることはありませんでした。この研究ではウィザードベースのコンフィグレーションモード(AppCentric Templates)は無視されており、エキスパートモード(CLI)だけが対象になっているとA10は判断しました。この研究論文のテスト要件を、A10の正しいコンフィグレーションに完全に合わせることもできたはずです。A10は著者に連絡して当社の懸念を伝え、論文を改定するために協同で作業しました。
ここで、論文の著者の設定がどのように不完全で、最終的に彼らの要件に満たない結果になってしまったかを説明します。
ただしその前に申し上げたいのは、セキュリティソリューションを調査してテストおよび調査することは業界にとって必要であり、将来、より多くの事実が明らかになることをA10は望んでいます。
暗号のアドバタイズ
まず、ランク付けにおいて、A10 Thunder SSLiが「EXPORT暗号をアドバタイズする」ことが指摘されています。確かにA10 Thunder SSLiではその暗号がアドバタイズされることがありますが、それが起きるのはCLIで使用可能なすべての暗号を有効にした場合のみです。設定上、EXPORT暗号をアドバタイズしないように設定するのは非常に簡単です。
この設定はCLIまたはGUIより設定することが可能ですが、A10 Thunder SSLiには設定に慣れていないユーザのために、導入後すぐに簡単に使用できるウィザードベースのコンフィグレーションツールが用意されています。このウィザードとテンプレートに基づいたツールはベストプラクティスのコンフィグレーションを自動的に適用し、EXPORT暗号をアドバタイズしないようにすることができます。
A10は、この論文の著者たちがThunder SSLiをあらゆる設定が可能な(ただし調整可能)熟練者向けのCLIモードのみで設定を行い、「使用可能なすべての暗号」を使用する設定を行い、検証したと考えています。
最新の暗号スイートのサポート
これが第2のポイントです。この論文で著者たちは、Thunder SSLiが「最新の暗号スイート」をサポートしていないと指摘しています。これもまた間違いです。
Thunder SSLiでは、たとえデフォルト設定でも最新の暗号スイートをすべて使用できます。著者たちは研究のために最新の暗号スイートをすべて無効にしていたのではないかと推察されます。
以下に暗号スイートが表示されているThunder SSLiのGUIのスクリーンショットをいくつか示します。コンフィグレーションテンプレートのサンプルもあります。
SSLiのコンフィグレーションテンプレート
SSLiのデフォルトの暗号スイート設定(非熟練ユーザ向け)
SSLiの「全暗号スイート」設定(熟練ユーザ向け)
SSLiの高パフォーマンス設定
SSLiの高セキュリティ設定
SSLiコンフィグレーションウィザード
この論文に悪意があるとは考えていませんが、A10のシステムに不慣れなために生じたと思われる不正確な情報や誤りが含まれています。A10では、本稿によってお客様の疑問が払拭されるよう願っています。
A10は喜んで論文の著者の方々と率直な対話をしたいと考えています。その結果、より正確で徹底的な製品テストと、サイバーセキュリティをどのように改善できるかについて話し合いができることを望んでいます。
A10 Thunder SSLiの詳細については、こちらのデータシートからご覧いただけます。