診断モジュール 02

SSL/TLS証明書診断

SSL/TLS証明書はHTTPS通信の基盤です。証明書の有効期限、プロトコルバージョン、証明書チェーンの完全性を検証し、中間者攻撃（MITM）のリスクを包括的に診断します。

チェック項目

SSL/TLS証明書の6つの検証項目

証明書の有効期限チェック

証明書の残存日数を確認し、期限切れリスクを事前に検出します。30日以内に期限切れの場合は警告、7日以内はクリティカルと判定。

プロトコルバージョンの検証

TLS 1.2 および TLS 1.3 に対応しているかを確認。SSL 3.0、TLS 1.0、TLS 1.1 などの非推奨プロトコルが有効な場合は脆弱性として報告。

証明書チェーンの完全性

ルートCA、中間CA、サーバー証明書のチェーンが正しく構成されているかを検証。チェーンの欠落や自己署名証明書の使用を検出。

ホスト名の一致確認

証明書のCommon Name（CN）またはSubject Alternative Name（SAN）が、アクセスしているドメイン名と一致しているかを検証。

証明書発行者の信頼性

信頼されたCA（認証局）から発行された証明書かどうかを確認。無料CA（Let's Encrypt等）の利用状況や、EV/OV/DV証明書の種類も識別。

暗号スイートの強度

使用されている暗号スイートの安全性を評価。弱い暗号化アルゴリズム（RC4、DES、3DES等）の使用を検出します。

脆弱性の背景

なぜSSL/TLS証明書が重要なのか

SSL/TLS証明書は、クライアント（ブラウザ）とサーバー間の通信を暗号化し、データの盗聴・改ざんを防止する唯一の仕組みです。証明書が正しく設定されていない場合、以下の深刻なリスクが発生します。

中間者攻撃（Man-in-the-Middle / MITM）

攻撃者がクライアントとサーバーの間に割り込み、通信内容を傍受・改ざんする攻撃です。 SSL/TLS証明書が無効、または非推奨プロトコルを使用している場合、この攻撃が成立する可能性があります。公共Wi-Fiネットワークでは特にリスクが高まります。

証明書期限切れによるサービス停止

SSL証明書が期限切れになると、ブラウザがセキュリティ警告を表示し、ユーザーがサイトにアクセスできなくなります。ECサイトの場合、直接的な売上損失に繋がり、企業の信頼性も著しく低下します。

SEOへの悪影響

Googleはhttps化をランキングシグナルとして使用しています。SSL証明書に問題がある場合、検索順位の低下やブラウザでの「安全でないサイト」表示により、ユーザーの離脱率が増加します。

プロトコル	状態	備考
SSL 3.0	非推奨	POODLE攻撃に対して脆弱。使用禁止。
TLS 1.0	非推奨	BEAST攻撃のリスク。2020年以降主要ブラウザで無効化。
TLS 1.1	非推奨	既知の脆弱性あり。使用すべきでない。
TLS 1.2	推奨	現在も広く使用。適切な暗号スイートで安全。
TLS 1.3	最推奨	最新のプロトコル。高速かつ最も安全。

実際の被害事例

SSL/TLSに関する攻撃事例

DigiNotar CA侵害事件（2011年）

オランダの認証局DigiNotarがハッキングされ、google.comを含む500以上の不正SSL証明書が発行されました。これにより、イラン政府がGmailの通信を傍受する中間者攻撃が実行されたとされています。この事件を契機に、Certificate Transparencyログの導入が進みました。

Heartbleed脆弱性（2014年）

OpenSSLライブラリの脆弱性（CVE-2014-0160）により、SSL/TLS通信で使用されるサーバーのメモリ内容が最大64KBずつ読み取り可能に。秘密鍵、セッション情報、パスワードなどが漏洩するリスクがありました。世界のWebサーバーの約17%が影響を受けました。

期限切れ証明書によるサービス障害

2020年、大手CDNプロバイダの中間証明書が期限切れとなり、世界中の多数のWebサイトでHTTPSアクセスが不能に。証明書管理の自動化とモニタリングの重要性を示す事例となりました。

検出メカニズム

Security Scannerの検出方法

TLS接続の確立

Node.jsのtlsモジュールを使用して対象サーバーとTLSハンドシェイクを実行し、証明書情報を取得します。

証明書メタデータの解析

有効期限（notBefore / notAfter）、発行者（issuer）、サブジェクト（subject）、SAN拡張を解析します。

プロトコルバージョンの判定

接続時のネゴシエーションプロトコルを確認し、TLS 1.2 / 1.3 対応状況を判定します。

証明書チェーンの検証

中間証明書の存在、ルートCAの信頼性、チェーンの整合性を確認します。

残存日数に基づくリスク評価

証明書の残存日数を計算し、30日/7日の閾値に基づいてアラートレベルを判定します。

修正方法

SSL/TLS証明書の正しい管理方法

Let's Encryptによる自動更新

Certbotを使ったSSL証明書の自動取得・更新が最も推奨される方法です。

# Certbotのインストール（Ubuntu）
sudo apt install certbot python3-certbot-nginx

# 証明書の取得（Nginx）
sudo certbot --nginx -d example.com -d www.example.com

# 自動更新の設定確認
sudo certbot renew --dry-run

# cronで自動更新（1日2回チェック）
0 0,12 * * * /usr/bin/certbot renew --quiet

Nginx TLS設定の最適化

server {
    listen 443 ssl http2;
    server_name example.com;

    # 証明書
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

    # プロトコルバージョン（TLS 1.2 / 1.3 のみ）
    ssl_protocols TLSv1.2 TLSv1.3;

    # 強力な暗号スイートのみ使用
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # OCSP Stapling
    ssl_stapling on;
    ssl_stapling_verify on;

    # HSTS
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}

Vercel/Cloudflare利用時

Vercel、Cloudflare、AWS CloudFrontなどのサービスを使用している場合、SSL証明書の発行・更新は自動的に管理されます。ただし、カスタムドメインの設定やDNS検証の完了を確認し、証明書が正しく適用されていることを定期的にチェックしてください。