603 Views
December 28, 15
スライド概要
2015/11/27 FileMaker カンファレンス 2015 講演資料
Claris FileMaker 認定デベロッパ、kintone認定 アプリデザインスペシャリスト(2020年2月)、kintone認定 カスタマイズスペシャリスト(2020年3月)。
SSL暗号化通信を利用した ネットワークセキュリティの向上 2015/11/27 FileMaker カンファレンス 2015 講演資料 松尾篤(株式会社エミック)
自己紹介 • 松尾 篤(まつお ✓ 株式会社エミック あつし) 代表取締役 ✓ FileMaker 8 / 9 / 10 / 11 / 12 / 13 / 14 Certified Developer ✓ FileMaker Server対応Webフレームワーク「INTER-Mediator」 コミッター ✓ カスタムWeb勉強会を隔月で開催
株式会社エミック • FileMaker製品対応ホスティングサービス を1998年から提供 ✓ FileMaker Server 14に対応した「FMPress14」 ✓ データベースからモバイル対応Webアプリを生成する 「FMPress Publisher」を搭載 • https://www.emic.co.jp/ FMPress
デモを FileMaker Proデータベースから、 ご覧下さい プログラムなしでWebアプリを生成 Webアプリで導入・運用コストを削減、同時接続ライセンスは不要です FileMaker Proでデータベースを作成 Webアプリを自動生成
今回の話題 1. SSLとは何か 2. FileMaker製品でSSLを利用するには 3. SSL/TLS関連最新情報
1. SSLとは何か
例えばこのようなとき • 重要な情報をインターネット上でやり 取りする際にデータを安全に送受信し たい
暗号化通信 盗聴 ❌❌ 改竄 なりすまし
Secure Sockets Layer • データを暗号化してやり取りする手順の 決まり(プロトコル) • クライアント・サーバー間の通信を暗号 化できる
次のようなエラーに遭遇 したことはありませんか?
❌ ⭕
FileMaker Serverは SSL暗号化通信に対応 • FileMaker Pro/GoとFileMaker Server間(TCP 5003番ポート)の通 信を暗号化 • WebブラウザーとWebサーバー間 (TCP 443/16000番ポート)の通信 を暗号化
SSLはサービスごとに対応が必要 SSL FileMaker Proや FileMaker Goでの接続 FileMaker Server SSL Web Server Webサイト閲覧、 WebDirectクライアント カスタムWebクライアント
参考:SSLとVPNの違い SSL FileMaker Network HTTPS DNS VPN
TLS:SSLの後継規格 • 最新の規格はTLS 1.2(TLS: Transport Layer Security) • SSL/TLSは世界で最も利用されている 暗号化通信の方法
2. FileMaker製品で SSLを利用するには
どのバージョンが必要? (2015年11月現在) • FileMaker Pro 13.0v9以降 • FileMaker Go 13.0.9以降 (FileMaker Pro Advancedも同様) • FileMaker Server 13.0v9以降 (最新版であるバージョン14の利用を推奨)
SSL対応手順概要 1.認証局に提出するCSRファイルを生成 2.認証局から発行されたSSLサーバー証 明書をFileMaker Serverにインポート 3.Admin Consoleで[データベース接続 に SSL を使用する(保護された接続が 必要)]設定を有効化
SSL導入にあたって • SSL暗号化通信を実現するには認証局 から証明書を購入する必要がある • FileMaker製品でサポートされている SSLサーバー証明書の販売元と種類は 限られている
サポートされる証明書の販売元および商品名 シマンテック・ウェブサイトセキュリティ シマンテック セキュア・サーバID コモドジャパン 企業認証タイプ SSL ジオトラスト トゥルービジネスID ジオトラスト クイックSSL プレミアム Thawte SSL123 GoDaddy Standard SSL 種類 実在認証型 実在認証型 実在認証型 署名ハッシュ アルゴリズム SHA-1 SHA-2 SHA-1 SHA-2 SHA-2 SHA-1 ドメイン認証型 SHA-2 SHA-1 ドメイン認証型 SHA-2 SHA-1 ドメイン認証型 SHA-2 (独自調査の結果)
ドメイン認証 (DV) 実在認証 (OV) 拡張認証 (EV) 約9,000〜31,300円 25,800〜81,000円 価格(年間)の目安 (無料、千〜1.5万円) (約9千〜13.8万円) (約2.4万〜21.9万円) 用途 個人、開発用、 社内ネットワーク用 企業、一般用 企業、一般用 運営者の実在性審査 - 実施 厳格に実施 アドレスバー 組織名は表示されない 組織名は表示されない 証明書ビューア 組織名は表示されない 組織名が表示される 組織名が表示される 組織名が表示される
安全上の理由から SHA-1は非推奨に • 署名ハッシュアルゴリズムがSHA-1で あるSSLサーバー証明書が発行される のは今年12月まで • SHA-1証明書のサポート廃止が2016 年6月に前倒しされる可能性あり • 今後はSHA-2(SHA-256)版を選択
証明書購入時の注意点 • FileMaker 12はSHA-2版SSLサーバー 証明書に非対応 • ワイルドカードSSLサーバー証明書に 対応しているのはFileMaker Pro 14.0.3 (Advanced)以降のみ(独自調査の結果) • EV SSL証明書には未対応
CSRの生成 • 認証局に提出する署名リクエスト(Certificate Signing Request) • fmsadminコマンドで生成可 • CStoreフォルダ内のserverRequest.pem • FileMaker Server 14であれば認証局で案内さ れている手順を参照して生成するのがオススメ • 所有しているドメイン名が必要
fmsadminコマンド (FileMaker Server 13 ヘルプより)
CStoreフォルダ内の ファイル • serverKey.pem プライベートキーファイル(パスフレー • ズを削除したもの) • serverCustom.pem • fmsadmin certificate importで発行さ れたSSLサーバー証明書ファイルをイン ポートして生成されたファイル
証明書のインポート • FileMaker Server 14ではAdmin Console上でインポートが可能 • FileMaker Server 13の場合には fmsadminコマンド(fmsadmin certificate import)を利用
FileMaker Server 14
SSL暗号化通信の有効化 • Admin Consoleで[データベース接続 に SSL を使用する(保護された接続が 必要)]設定を有効化 • データベースサーバーとWeb公開エン ジンを再起動 🔐
FileMaker Go/Pro からの接続 • FileMaker Go/ProからFileMaker Serverに接続する際にはSSLサーバー 証明書のコモンネーム(サーバー名) を使用
Windows環境での注意点 • クライアント環境がWindowsで FileMaker ProもしくはFileMaker Pro Advancedを使用する場合 ➡Windowsアカウントのユーザー名に 漢字やひらがな等のマルチバイト文字 を含めないようにする
3. SSL/TLS関連 最新情報
FileMaker Server 13.0v1a / 13.0v2 • FileMaker Pro (Advanced)はバージョ • OpenSSLのHeartbleed脆弱性を修正 ン13.0v3で、FileMaker Goはバージョ ン13.0.4で上記脆弱性を修正
FileMaker Server 13.0v5 • SSL/TLSの脆弱性を突いたFREAK攻 撃に対応 • SSL 3.0の脆弱性を突くPOODLE攻撃 への対策のためにSSL 3.0を無効化 (OS X版FileMaker ServerのWeb サーバーにおいて)
FileMaker 13.0v9 • FileMaker Server 13.0v9 • FileMaker Pro 13.0v9 • • FileMaker Pro 13.0v9 Advanced FileMaker Go 13.0.9 • SSL関連のセキュリティアップデート
Admin Consoleにおいて 証明書に関する説明に変化 • “デフォルトでインストールされる標準 の FileMaker SSL 証明書はテスト用に のみ利用できます。実際に使用する場 合はカスタム SSL 証明書が必要で す。”
FileMaker Pro 13 FileMaker Go 13 • ウインドウにロックアイコンが表示さ れるように
FileMaker Pro 13.0v4 • [FileMaker Serverにアップロード] ダイアログボックスにロックアイコン が表示されるように
Windows OS X 暗号化通信の状態 接続が暗号化されていません 実際の接続先を装ったサーバーに接続している可能性があ り、お客様の認証情報が危険に曝される可能性があります 接続はカスタム SSL 証明書によって暗号化されています (FileMaker ナレッジベースより)
FileMaker 14 • アカウント名とパスワードを入力する ダイアログボックスにおいてロックア イコンが表示されるように
FileMaker Pro 14.0.3 • ネットワーク共有でワイルドカード SSLサーバー証明書に対応(独自調査の結果) • 1枚のSSLサーバー証明書 (*.example.jp)で複数のサブドメイ ン(a.example.jp/b.example.jp…) に対応した証明書
SSL/TLS関連最新情報 • 常時SSL(Always on SSL) • • HTTP/2 SNI(Server Name Indication)
SNI (Server Name Indication) • 1台のサーバー上で複数のSSL対応Web サイトを運用可能 • 従来はIPアドレス1つにつき1つ
常時SSL (Always on SSL) • GoogleがSEOでHTTPSを優遇 • • HTTP Strict Transport Security Web上のすべての通信をHTTPS化 (HSTS)
HTTP/2 • HTTP/1.1が今年16年ぶりに改訂 (RFC 7540) • Webを高速化するHTTP/2は現時点で は実質的にTLSが必須
まとめ
まとめ • SSL/TLSはさまざまなプロトコル上で使 用できる(HTTPに限らない) • SSL/TLSを実際に使用する場合は認証局 から証明書を購入する必要がある • 安全上の理由からSHA-1版SSLサーバー 証明書の使用は非推奨に(今後はSHA-2 に要移行)