Edited at

安全なWebサイトを運用するためのチェックツール集

More than 1 year has passed since last update.


SSL/TLS


SSL/TLS暗号設定ガイドライン

SSL/TLS暗号設定ガイドライン(PDF)

IPA(情報処理推進機構)が発行している、SSL設定のガイドラインです。(PDF)

全部重要ですが、かなり長いので

高セキュリティ型、推奨セキュリティ型での暗号スイートの詳細要求設定

を見て下さい。


SSL Server Test (by Qualys)

SSL Server Test

SSL導入時、最初に行ってもらいたいテストツールです。

様々な脆弱性などをチェックし、明示してくれます。

有名なチェックツールなので解説サイトなどでA+を取るための設定値などが公開されていますが、情報が古いものが多いので、要注意です。

「Do not show the results on the boards」にチェックを入れるとリストに表示されなくなります。


CryptCheck

CryptCheck

暗号スイートを設定する際、設定値などをどこかの解説サイトからコピペしている方が多いです。

その設定が本当に合っているか、その設定では危険な暗号スイートが利用できるようになっていないか?をチェックすることができます。

上のメニューの「User agent compatibility」でCipher Suiteのテストもできます。


Symantec Google Chromeチェックツール (by Symantec)

Google Chromeにより警告がでるウェブサイトかチェックする

2018年3月、9月にGoogle Chromeの設定が変わり、Symantec発行の一部の証明書は設定し直さなければなりません(設定しないと危険なサイト扱いになる)。

Symantec、Thawte、GeoTrust、RapidSSLが対象なのですが、証明書の有効期限などを見ていちいち確認するより、このツールを使う方が正確です。


CSP


Observatory (by Mozilla)

Observatory

HTTP Headerなどのチェックを行ってくれます。

Content Security Policy(CSP)やReferrer Policyを設定できてないサイトが多いです。


CSP Evaluator (by Google)

CSP Evaluator

CSPの設定値が安全かどうかをテストしてくれます。

Googleが用意した設定例もあります。


BlackList


SpamHaus

SpamHaus

ドメインやIPがブラックリストに載っていないかを調べます。

(細かい解説などは別記事にまとめます。)


さいごに

個人的に使っているツールを簡単に列挙してみました。

常時SSL化が騒がれている今、こういったツールを使うことで(ある程度は)安全な通信が行えるようになります。是非使ってみて下さい。