1. HOME
  2. Blog
  3. Blog
  4. HTTPS(ハイパーテキスト転送プロトコルセキュア)の重要性に関する発表

Info.

お知らせ

Blog

HTTPS(ハイパーテキスト転送プロトコルセキュア)の重要性に関する発表

トピック: Barracuda WAF-as-a-ServiceBarracuda Web Application Firewall

2020年8月12日、Tushar Richabadas

最近、米国のDotGov(.gov)レジストラは米国政府のすべてのWebサイトがブラウザ上のHSTS(HTTP Strict Transport Security)プリロードリストに追加されることを発表しました。この発表は米国政府のWebサイトへのすべてのアクセスを完全に保護する上で非常に重要な一歩です。

HTTPS Webサイトにアクセスしようとするブラウザは、まず、暗号化されていないHTTP(ハイパーテキスト転送プロトコル)接続を実行しようとする場合が多いです。このHTTP接続は、実行された後、HTTPSにアップグレードされます。このため、その間、傍受が実行され、MITM(中間者)攻撃の攻撃ベクタが提供されます。HSTSは接続をアップグレードする必要があることをブラウザに通知するための標準の方法です。ブラウザは、最初の要求を送信する場合、MITM攻撃を防止するために、HSTSを使用するドメインのリストを含んでいる可能性があります。このHSTSプリロードと呼ばれる処理によって、HTTPが使用される可能性はまったくなくなるため、プロセス全体のセキュリティが強化されます。

現在のプロセスが完了するには時間がかかりますが、今年9月1日から新しいすべてのDotGov(.gov)ドメインは自動的にプリロードされます。古いアプリケーションが、この変化に適応する時間は、まだあります。

在宅勤務への現在の大規模な移行が開始してから、多くの企業は、この変化に直面しています。イントラネット上でHTTPを実行している多くの古いアプリケーションは、外部アクセスを許可するために、HTTP化する必要があります。アプリケーションが新しい場合、このHTTP化は比較的簡単なタスクです。しかし、アプリケーションが古い場合、管理者は、HTTPからHTTPSにアプリケーションをアップグレードするか、セキュリティが強化されたバージョンのTLS(Transport Layer Security)プロトコルを使用するために、かなりの時間を費やす必要があります。アプリケーションの多くはSSL(Secure Socket Layer) 3.0までアップグレードされます。

バラクーダのソリューション

Barracuda Web Application FirewallとBarracuda WAF-as-a-Serviceは上記のアップグレードを簡単に実行するための多くの機能を実装しています。また、インスタントSSLによって、ページ上のすべてのアウトバウンドリンクをHTTPSに書き換えるなど、アプリケーションのセキュアなHTTPフロントエンドを迅速に提供できます。インバウンドトラフィックはHTTPに自動的に書き換えられるため、バックエンドアプリケーションはセキュアになりません。Barracuda Web Application FirewallとBarracuda WAF-as-a-Serviceは、旧バージョンのSSL/TLSに依存するアプリケーションの外側にあり、セキュアなTLS 1.2/1.3フロントエンドをこのようなアプリケーションに提供できます。

多くのHTTPアプリケーションをアップグレードする前は、新しいHTTPS証明書を取得する必要があります。Barracuda Web Application FirewallとBarracuda WAF-as-a-Serviceの両方は、Let’s Encryptによって、この取得を自動化します。Let’s Encryptは無料のHTTPS証明書を提供する非営利のCA(認証局)です。アプリケーションに必要な証明書を自動的に作成し、アプリケーションをHTTPSで保護するように、Barracuda Web Application FirewallとBarracuda WAF-as-a-Serviceを設定できます。

DotGov(.gov)レジストラによる発表は多くのアプリケーションがインターネット上のHTTPでまだ実行されるという通知です。少数のアプリケーションはHTTPで実行される可能性がありますが、ほとんどのアプリケーションにはアップグレードが必要です。Barracuda Web Application FirewallBarracuda WAF-as-a-Service、企業が保護する必要があるWebアプリケーションまたはAPI(アプリケーションプログラミングインターフェース)アプリケーションをHTTPSにアップグレードし、すべてのアプリケーション攻撃を防止するための簡単な方法を実装しています。無料の30日間の評価機/評価版については、このページをご参照ください。Webサイトの脆弱性を無料でスキャンするには、Barracuda Vulnerability Managerをご使用ください。

原文はこちら:

Sending forget-me-nots on the importance of HTTPS

August 12, 2020 Tushar Richabadas

https://blog.barracuda.com/2020/08/12/sending-forget-me-nots-on-the-importance-of-https/

 

Related posts