4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

安全なWebサイトを運用するためのチェックツール集

Last updated at Posted at 2018-05-01

SSL/TLS

SSL/TLS暗号設定ガイドライン

SSL/TLS暗号設定ガイドライン(PDF)
IPA(情報処理推進機構)が発行している、SSL設定のガイドラインです。(PDF)
全部重要ですが、かなり長いので
高セキュリティ型、推奨セキュリティ型での暗号スイートの詳細要求設定
を見て下さい。

SSL Server Test (by Qualys)

SSL Server Test
SSL導入時、最初に行ってもらいたいテストツールです。
様々な脆弱性などをチェックし、明示してくれます。
有名なチェックツールなので解説サイトなどでA+を取るための設定値などが公開されていますが、情報が古いものが多いので、要注意です。
「Do not show the results on the boards」にチェックを入れるとリストに表示されなくなります。

CryptCheck

CryptCheck
暗号スイートを設定する際、設定値などをどこかの解説サイトからコピペしている方が多いです。
その設定が本当に合っているか、その設定では危険な暗号スイートが利用できるようになっていないか?をチェックすることができます。
上のメニューの「User agent compatibility」でCipher Suiteのテストもできます。

Symantec Google Chromeチェックツール (by Symantec)

Google Chromeにより警告がでるウェブサイトかチェックする
2018年3月、9月にGoogle Chromeの設定が変わり、Symantec発行の一部の証明書は設定し直さなければなりません(設定しないと危険なサイト扱いになる)。
Symantec、Thawte、GeoTrust、RapidSSLが対象なのですが、証明書の有効期限などを見ていちいち確認するより、このツールを使う方が正確です。

CSP

Observatory (by Mozilla)

Observatory
HTTP Headerなどのチェックを行ってくれます。
Content Security Policy(CSP)やReferrer Policyを設定できてないサイトが多いです。

CSP Evaluator (by Google)

CSP Evaluator
CSPの設定値が安全かどうかをテストしてくれます。
Googleが用意した設定例もあります。

BlackList

SpamHaus

SpamHaus
ドメインやIPがブラックリストに載っていないかを調べます。
(細かい解説などは別記事にまとめます。)

さいごに

個人的に使っているツールを簡単に列挙してみました。
常時SSL化が騒がれている今、こういったツールを使うことで(ある程度は)安全な通信が行えるようになります。是非使ってみて下さい。

4
4
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
4

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?