2017年3月15日、US-CERT は「HTTPS Interception Weakens TLS Security」を公開しました。このアラートでは、HTTPS 通信監視機器を使用する場合のリスクについて説明し、使用する機器が適切に動作しているか確認することを推奨しています。また、これに先立って 2017年2月26日から 3月1日にかけて開催された NDSSシンポジウムで「The Security Impact of HTTPS Interception」と題する論文が発表されました。この論文では、HTTPS 通信監視機器を経由してサーバにアクセスするトラフィックの割合を実環境で調査した結果の紹介と HTTPS 通信監視機器を使用する環境で発生する問題の検討を行っています。HTTPS 通信監視機器を運用している組織や、導入を検討している組織は、これらのアラートや論文を確認することをお勧めします。
参考文書(日本語)
-
Japan Vulnerability Notes JVNTA#96603741
HTTPS 通信監視機器によるセキュリティ強度低下の問題
https://jvn.jp/ta/JVNTA96603741/
参考文書(英語)
-
US-CERT Alert (TA17-075A)
HTTPS Interception Weakens TLS Security
https://www.us-cert.gov/ncas/alerts/TA17-075A
-
Internet Society
The Security Impact of HTTPS Interception
https://www.internetsociety.org/doc/security-impact-https-interception
Weekly Report 2017-03-23号 に掲載