プロフェッショナルSSL/TLS
通常価格
¥4,999(税込¥5,499)
特別価格
- こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください
Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み)
- Ivan Ristić 著、齋藤孝道 監訳
- 520ページ
- B5判
- ISBN:978-4-908686-00-9
- 電子書籍の形式:PDF
- 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み)
- 本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます
現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信頼モデルについての幅広い知識と経験が必要になります。
本書は、いまやインターネットにおける暗号化通信に不可欠となったセキュリティプロトコルであるTLS(SSL)の全体像を体系的かつ具体的に語った、‟Bulletproof SSL and TLS”(Ivan Ristić 著)の全訳です。
本書の主なトピック
- インターネット標準のセキュリティプロトコル、TLS(Transport Layer Security)の基礎知識
- TLSで利用できるさまざまな暗号技術の概要
- TLSをウェブで利用するためのHTTPS(Hypertext Transfer Protocol Secure)
- そのための社会的な技術基盤としてのPKI(Public Key Infrastructure)
- PKIにおける信頼モデルを支える証明書とCA(Certification Authority、認証局)
- プロトコルと実装の安全性を破る、数々の脆弱性とインシデントの発見、それらに対抗する研究者と業界をめぐるストーリー
- 現場でいますぐ使えるOpenSSLの実戦的知識
- Apache、Java、Microsoft、Nginxにおける、ハイパフォーマンスなTLS設定とは?
TLS 1.3対応について
本書の内容は原書発行時のTLS 1.2に対応した解説となっています。原書 ‟Bulletproof SSL and TLS” はバージョンアップせず、改訂第2版として新しい書籍でTLS 1.3への完全対応が決まりました。
翻訳版も原書と同じく新しい書籍として改訂第2版を発行する予定ですが、本書についても、予定していた電子版でのTLS 1.3対応アップグレードとして、改訂第2版に含まれるTLS 1.3の解説章の翻訳を直販サイトで購入いただいた方に提供することになりました。本書を購入いただき、ラムダノートのサイトでユーザ登録をしていただいた方には、このTLS 1.3の解説章を付録として含んだ特別版PDFを無償でダウンロードしていただけます。詳しくはお知らせをご覧ください(特別版の紙書籍での発行は予定しておりません)。
執筆者紹介
Ivan Ristić(原著者)
セキュリティ研究者、エンジニアにして著述家。Webアプリケーションファイアウォールの分野における貢献、オープンソースのWebアプリケーションファイアウォールであるModSecurity の開発、SSL LabsのWebサイトで公開されているSSL/TLS およびPKI に関する研究、ツール、解説などで知られている。
著書としてApache Security、ModSecurity Handbook、Bulletproof SSL and TLSがある。これらの著書は、自身の継続的執筆と出版のためのプラットフォームであるFeisty Duck社から発行されている。セキュリティのコミュニティにも積極的に関与しており、Black Hat社、RSA社、OWASP AppSecといったカンファレンスでも頻繁に登壇している。現在はQualys社のApplication Security Researchの局長を務める。
齋藤孝道(監訳者)
明治大学理工学部情報科学科教授。博士(工学)。専門は情報セキュリティ技術。特に、Web セキュリティ、ブラウザのトラッキング技術やメモリ破壊攻撃対策などを研究テーマとする。 独立行政法人情報処理推進機構(IPA)情報処理技術者試験委員・情報処理安全確保支援士試 験委員。
主な著書に、『マスタリングTCP/IP 情報セキュリティ編』(オーム社)など。2016年 8月、レンジフォース株式会社(https://www.rangeforce.jp/)を創設。サイバーセキュリティトレーニングシステムのクラウ ド提供およびセミナーなどを通じた人材育成の支援や、企業のセキュリティ体制構築支援を行っている。
目次
第1章 SSL/TLS と暗号技術
1.1 Transport Layer Security
1.2 ネットワークの階層
1.3 プロトコルの歴史
1.4 暗号技術
第2章 プロトコル
2.1 Record プロトコル
2.2 Handshake プロトコル
2.3 鍵交換
2.4 認証
2.5 暗号化
2.6 再ネゴシエーション
2.7 Application Data プロトコル
2.8 Alert プロトコル
2.9 接続を閉じる
2.10 暗号処理
2.11 暗号スイート
2.12 拡張
2.13 プロトコルの限界
2.14 プロトコルのバージョンによる相違
第3章 公開鍵基盤
3.1 インターネットPKI
3.2 証明書の標準
3.3 証明書
3.4 証明書チェーン
3.5 証明書利用者
3.6 CA
3.7 証明書のライフサイクル
3.8 失効
3.9 弱点
3.10 ルートCA証明書の鍵の危殆化
3.11 エコシステムの観測
3.12 改善
第4章 PKI に対する攻撃
4.1 VeriSign 社のMicrosoft 社に対するコード署名証明書
4.2 Thawte 社とlogin.live.com
4.3 StartCom 社のセキュリティ侵害(2008年)
4.4 CertStar(Comodo社)のMozilla 証明書
4.5 偽造RapidSSL 証明書
4.6 Comodo社のリセラーのセキュリティ侵害
4.7 StartCom 社のセキュリティ侵害(2011年)
4.8 DigiNotar 社
4.9 DigiCert Sdn. Bhd
4.10 Flame
4.11 TURKTRUST社
4.12 ANSSI
4.13 インド情報工学センター
4.14 広範囲に及ぶTLS の傍受
4.15 CNNIC
第5章 HTTPおよびブラウザの問題
5.1 サイドジャッキング
5.2 クッキー窃取
5.3 クッキー書き換え攻撃
5.4 HTTPSストリッピング
5.5 MITM証明書
5.6 証明書の警告
5.7 セキュリティインジケーター
5.8 混在コンテンツ
5.9 EV証明書
5.10 証明書の失効
第6章 実装の問題
6.1 証明書の検証における欠陥
6.2 乱数生成における欠陥
6.3 Heartbleed
6.4 FREAK
6.5 Logjam
6.6 プロトコルダウングレード攻撃
6.7 強制切断攻撃
6.8 デプロイにおける弱点
第7章 プロトコルに対する攻撃
7.1 安全でない再ネゴシエーション
7.2 BEAST
7.3 圧縮サイドチャネル攻撃
7.4 Lucky 13
7.5 RC4の弱点
7.6 トリプルハンドシェイク攻撃
7.7 POODLE
7.8 Bullrun
第8章 デプロイ
8.1 鍵
8.2 証明書
8.3 プロトコルの設定
8.4 暗号スイートの設定
8.5 サーバの設定とアーキテクチャ
8.6 セキュリティ上の問題への緩和策
8.7 ピンニング
8.8 HTTP
第9章 パフォーマンス最適化
9.1 遅延と接続の管理
9.2 TLS プロトコルの最適化
9.3 DoS攻撃
第10章 HSTS、CSP、ピンニング
10.1 HSTS
10.2 CSP
10.3 ピンニング
第11章 OpenSSL
11.1 ことはじめ
11.2 鍵と証明書の管理
11.3 設定
11.4 プライベートCAを作る
第12章 OpenSSLによるテスト
12.1 SSL/TLS のサービスに接続する
12.2 SSL/TLS 利用へと昇格するプロトコルを試す
12.3 異なる形式のハンドシェイクを使う
12.4 リモートの証明書を取得する
12.5 対応しているプロトコルを調べる
12.6 対応している暗号スイートを調べる
12.7 SNI を要求するサーバを調べる
12.8 セッションの再利用を調べる
12.9 OCSPによる失効を確認する
12.10 OCSPステープリングを調べる
12.11 CRLの失効を調べる
12.12 再ネゴシエーションを調べる
12.13 BEAST脆弱性を調べる
12.14 Heartbleed を調べる
12.15 DHパラメータの強度を見極める
第13章 Apacheの設定
13.1 静的なOpenSSLを使ってApache をインストールする
13.2 TLS を有効にする
13.3 TLS プロトコルの設定
13.4 鍵と証明書の設定
13.5 複数の鍵を設定する
13.6 ワイルドカード証明書とマルチサイト証明書
13.7 仮想セキュアホスティング
13.8 エラーメッセージ用にデフォルトサイトを予約する
13.9 PFS
13.10 OCSPステープリング
13.11 DHE鍵交換の設定
13.12 TLS セッションの管理
13.13 クライアント認証
13.14 プロトコルの問題を低減する
13.15 HSTSの導入
13.16 セッションキャッシュの状態をモニターする
13.17 ネゴシエーションしたTLS パラメータをログに残す
13.18 mod_sslhaf による高度なログ
第14章 Java およびTomcatの設定
14.1 Java における暗号の構成要素
14.2 Tomcat
第15章 Microsoft WindowsおよびIIS の設定
15.1 Schannel
15.2 Microsoft ルート証明書プログラム
15.3 設定
15.4 ASP.NET のWebアプリケーションを安全にする
15.5 IIS
第16章 Nginxの設定
16.1 OpenSSLソースコード利用のNginx のインストール
16.2 TLS を有効にする
16.3 TLS プロトコルの設定
16.4 鍵と証明書の設定
16.5 複数の鍵を設定する
16.6 ワイルドカード証明書とマルチサイト証明書
16.7 仮想セキュアホスティング
16.8 エラーメッセージ用にデフォルトのサイトを使う
16.9 PFS
16.10 OCSPステープリング
16.11 DHE鍵交換の設定
16.12 ECDHE鍵交換の設定
16.13 TLS セッションの管理
16.14 クライアント認証
16.15 プロトコルの問題への対策
16.16 HSTSのデプロイ
16.17 TLS バッファの調整
16.18 ロギング
第17章 まとめ
索引