SSL/TLS
SSL/TLS暗号設定ガイドライン
SSL/TLS暗号設定ガイドライン(PDF)
IPA(情報処理推進機構)が発行している、SSL設定のガイドラインです。(PDF)
全部重要ですが、かなり長いので
高セキュリティ型、推奨セキュリティ型での暗号スイートの詳細要求設定
を見て下さい。
SSL Server Test (by Qualys)
SSL Server Test
SSL導入時、最初に行ってもらいたいテストツールです。
様々な脆弱性などをチェックし、明示してくれます。
有名なチェックツールなので解説サイトなどでA+を取るための設定値などが公開されていますが、情報が古いものが多いので、要注意です。
「Do not show the results on the boards」にチェックを入れるとリストに表示されなくなります。
CryptCheck
CryptCheck
暗号スイートを設定する際、設定値などをどこかの解説サイトからコピペしている方が多いです。
その設定が本当に合っているか、その設定では危険な暗号スイートが利用できるようになっていないか?をチェックすることができます。
上のメニューの「User agent compatibility」でCipher Suiteのテストもできます。
Symantec Google Chromeチェックツール (by Symantec)
Google Chromeにより警告がでるウェブサイトかチェックする
2018年3月、9月にGoogle Chromeの設定が変わり、Symantec発行の一部の証明書は設定し直さなければなりません(設定しないと危険なサイト扱いになる)。
Symantec、Thawte、GeoTrust、RapidSSLが対象なのですが、証明書の有効期限などを見ていちいち確認するより、このツールを使う方が正確です。
CSP
Observatory (by Mozilla)
Observatory
HTTP Headerなどのチェックを行ってくれます。
Content Security Policy(CSP)やReferrer Policyを設定できてないサイトが多いです。
CSP Evaluator (by Google)
CSP Evaluator
CSPの設定値が安全かどうかをテストしてくれます。
Googleが用意した設定例もあります。
BlackList
SpamHaus
SpamHaus
ドメインやIPがブラックリストに載っていないかを調べます。
(細かい解説などは別記事にまとめます。)
さいごに
個人的に使っているツールを簡単に列挙してみました。
常時SSL化が騒がれている今、こういったツールを使うことで(ある程度は)安全な通信が行えるようになります。是非使ってみて下さい。