HOME»情報処理安全確保支援士掲示板»SSLに関しまして
投稿する
ご教授ありがとうございます。
やはり参考書などにあるように「問題文に沿って」答えるのが一番ですよね。
実際に業務でSSLサーバ証明書を作成&運用をしたことがあり、その絡みで【Heartbleed】【POODLE】に対応をする羽目になったことがあったので「そういえばSSLは使用不可では?」と思って不安になり、ご質問させていただきました。
クリリン様、ありがとうございます。
SSLに関しまして [0075]
リベンジャーさん(No.1)
受験される方々にお伺いしたいのですが、ここ2年程の間にSSLの全バージョン(+TLS1.0&TLS1.1)で見つかった【POODLE】を代表とした脆弱性に関連しまして、例えば試験の解答として以下のように記述するのが正しいのでしょうか?
×「SSL」 ⇒ ○「TLS」
×「HTTP over SSL」 ⇒ ○「HTTP over TLS」
或いは「上記の様に明記しなさい」とIPAが発表(勧告)を出していたり...など情報はございますでしょうか?(調べたのですがソースは見当たりませんでした...)
変な質問で申し訳ありませんが、どなたかご存知でしたらご教授いただけないでしょうか。
×「SSL」 ⇒ ○「TLS」
×「HTTP over SSL」 ⇒ ○「HTTP over TLS」
或いは「上記の様に明記しなさい」とIPAが発表(勧告)を出していたり...など情報はございますでしょうか?(調べたのですがソースは見当たりませんでした...)
変な質問で申し訳ありませんが、どなたかご存知でしたらご教授いただけないでしょうか。
2016.02.24 14:04
クリリンさん(No.2)
試験でどう問われるかは分かりませんが、シマンテックは、
【SSL3.0とTLS1.0は大枠の仕組みは同じですが、SSLという名称が既に普及しているため、RFCにおける最新バージョンはTLS1.2であっても一般には「SSL」や「SSL/TLS」と表記することが多くなっています。シマンテックの「SSLサーバ証明書」も認知度とそれを変更する際の混乱を考慮してSSLの表記を残しています。】
と言っています。
SSL業界の重鎮がこう言っているので、問題文がSSLかTLSのどちらで書かれているかを確認して、問題文に合わせる形で書くのがいいのではないでしょうか?
【SSL3.0とTLS1.0は大枠の仕組みは同じですが、SSLという名称が既に普及しているため、RFCにおける最新バージョンはTLS1.2であっても一般には「SSL」や「SSL/TLS」と表記することが多くなっています。シマンテックの「SSLサーバ証明書」も認知度とそれを変更する際の混乱を考慮してSSLの表記を残しています。】
と言っています。
SSL業界の重鎮がこう言っているので、問題文がSSLかTLSのどちらで書かれているかを確認して、問題文に合わせる形で書くのがいいのではないでしょうか?
2016.02.24 16:19
リベンジャーさん(No.3)
>> クリリン様
ご教授ありがとうございます。
やはり参考書などにあるように「問題文に沿って」答えるのが一番ですよね。
実際に業務でSSLサーバ証明書を作成&運用をしたことがあり、その絡みで【Heartbleed】【POODLE】に対応をする羽目になったことがあったので「そういえばSSLは使用不可では?」と思って不安になり、ご質問させていただきました。
クリリン様、ありがとうございます。
2016.02.24 17:33