IPA(独立行政法人情報処理推進機構)が5月12日、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドライン「SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~」を公開しました。ガイドラン本体のPDFのほか、設定チェックリストをPDF/Excel形式でダウンロードすることができます。
ガイドラインの内容は、SSL/TSLサーバーの設定基準の概要説明から始まり、プロトコルバージョン、サーバー証明書、暗号スイーツなどの具体的設定項目の解説、ブラウザの設定に関する説明へと進みます。SSL/TLSを用いたリモートアクセス技術(SSl-VPN)などそのほかのトピックにも触れられています。
ただ単に設定例が解説されているだけでなく「様々な利用上の判断材料も加味した合理的な根拠」を重視しているそうなので、なぜそうしなければならないのか理由を知りたい管理者の方にとっても役立つ資料といえるでしょう(よくある「オレオレ証明書」がだめな理由も書かれていました)。