はじめに
本書の目的
本ドキュメントは、SSL/TLS設定の安全性を評価・診断する「SSL Server Test」に関する技術情報をまとめます。主にQualys SSL Labsのオンラインサービスを中心に、代表的なオンライン診断ツールとコマンドラインツールの概要や使い方をやさしく解説します。
対象読者
サーバー管理者やWeb開発者、運用担当者を想定します。専門知識が浅い方も読み進められるよう、専門用語は最小限にし具体例を交えて説明します。
本章で伝えたいこと
SSL/TLSはHTTPSの安全性を支える重要な仕組みです。適切に設定されていないと、通信が盗聴や改ざんされる恐れがあります。本書は、診断ツールを使って何を確認すればよいか、見つかった問題をどう直すかを順を追って示します。
具体的に学べる項目(概略)
- オンライン診断(Qualys SSL Labs)の使い方と結果の読み方
- 他の代表的なオンラインツールの特徴比較
- testssl.sh、SSLyze、SSLscanなどのコマンドラインツールの概要と用途
- よくある不具合(古いプロトコル、弱い暗号、証明書チェーンの不備)と対処例
次章以降で、各ツールの詳しい説明と実践的な手順を順に解説します。まずは全体の流れをつかんでください。
はじめに:なぜ「SSL Server Test」が重要なのか
なぜ証明書だけでは不十分か
HTTPSの導入は進みましたが、サーバーに証明書があるだけで安全とは限りません。古いプロトコル(例:SSLv3やTLS 1.0)や、解読されやすい暗号方式が有効なままだと、通信が盗聴や改ざんされる恐れがあります。中間証明書の不備でブラウザが警告を出す場合もあります。実例としてHeartbleedやPOODLEといった既知の脆弱性が、適切な設定がされていないと攻撃を招きます。
SSL Server Testが果たす役割
SSL Server Testは、サーバーのTLS/SSL設定を自動で診断します。利用しているプロトコル、暗号スイート、証明書チェーン、中間証明書の有無、既知脆弱性の有無などを詳細にチェックします。結果は分かりやすい評価(スコアや等級)で示され、どこを直せば良いか具体的に分かります。
Qualys SSL Labsが業界標準とされる理由
Qualys SSL LabsのSSL Server Testは、広く使われる無料の診断サービスです。診断項目が多く、出力が見やすいため、開発者や運用者、監査担当者が導入状況を素早く把握できます。また、公開レポートを訪問者や顧客と共有して信頼性を示すこともできます。
運用での使い方(簡単な指針)
定期的に診断を実行し、サーバー設定や証明書更新のたびに再チェックしてください。診断結果に従って古いプロトコルや弱い暗号を無効化し、中間証明書を正しく配置します。自動化ツールや監視と組み合わせると、設定ミスや経年変化を早期に発見できます。
第1章:SSL Server Test(Qualys SSL Labs)とは何か
概要
Qualys SSL LabsのSSL Server Testは、公開されたHTTPSサーバのSSL/TLS設定を無料で詳しく解析するオンラインサービスです。ウェブサイトの安全性を第三者の視点で確認できます。テストはブラウザからホスト名を入力して実行するだけで、短時間で結果が得られます。
主な診断項目
- 総合評価(A〜Fのグレード): 設定の良し悪しを一目で把握できます。
- 証明書情報: 有効期限や署名アルゴリズム、チェーンの正しさを確認します。
- 対応プロトコル: TLS1.3/1.2などサーバが許可するバージョンを表示します。
- 暗号スイート: 使用可能な暗号化方式を一覧で示します。例としてECDHEやAESなどが出ます。
- ハンドシェイクシミュレーション: 様々なクライアント(古いブラウザやモバイル)との接続成功可否を試します。
- 既知の脆弱性チェック: POODLEやHeartbleedなど既知問題の有無を報告します。
- HSTSやOCSP stapling等の実装状況も確認します。
使い方
- サイトのホスト名(例: example.com)を入力します。
- 「Submit」して解析を開始します。解析は数十秒〜数分かかります。
- 総合評価と詳細テーブルが表示されます。
結果の見方と実践的なポイント
総合評価は改善の優先度を示しますが、詳細項目を必ず確認してください。たとえば証明書の期限切れや古いプロトコルの許可は優先して修正します。暗号スイートの順位を調整して強い方式を優先すること、HSTSを有効にすること、OCSP staplingで証明書失効確認を高速化することが一般的な改善策です。
補足
このツールは公開サーバ向けです。内部ネットワークやファイアウォールの内側にあるサーバは直接測定できない点に注意してください。
第2章:代表的オンラインSSL/TLS診断ツールの一覧と特徴
Qualys SSL Server Test
総合評価を行う代表的なサービスです。サーバ証明書、プロトコル、暗号スイート、設定ミスなど多角的にスコアを付けてくれます。初心者にも見やすい結果で改善点が分かります。
Pentest Tools – SSL/TLS Scanner
testssl.shベースで脆弱性検出に強いツールです。ポート指定が柔軟で、脆弱性の有無を詳しく報告します。侵入テスト寄りの詳細な診断が必要なときに便利です。
ベンダー系チェッカー(SSL Shopper / SSLStore / DigiCert / GlobalSign)
証明書のインストール状態や有効期限、チェーンの問題を重点的に確認します。具体的な修正手順やベンダー固有の注意点を提示することが多いです。
Wormly SSL Tester
複数項目で評価するため、設定の弱点を幅広く洗い出します。可視化された結果で優先順位を付けやすいです。
ImmuniWeb SSL Security Test
脆弱性とブラウザ互換性までチェックします。実運用での接続性を意識した診断が得意です。
証明書情報取得系(DNSChecker / SSLChecker.com)
証明書の詳細情報やチェーン構成を素早く取得できます。期限確認や発行者確認など、日常運用の確認に向きます。
第3章:コマンドラインで行うSSL Server Test – testssl.sh / SSLyze / SSLscan
はじめに
ローカルやサーバー内で詳細に診断したいとき、コマンドラインのツールが便利です。ここでは使いやすい3つを紹介します。
testssl.sh
- 特徴:シェルスクリプトで動き、幅広いチェックを行います(プロトコル、暗号スイート、証明書など)。出力が見やすく、ファイルに保存できます。
- 導入:Gitから取得して実行権限を付けるだけです。例:git clone https://github.com/drwetter/testssl.sh && cd testssl.sh
- 使い方:基本コマンド:./testssl.sh example.com
- 備考:詳細な診断結果を人が読む用途に向きます。
SSLyze
- 特徴:Pythonベースで高速、ライブラリとしても使えます。プログラムから呼び出して自動化しやすいです。
- 導入:pip install sslyze(またはバイナリ)
- 使い方:コマンド例:sslyze –regular example.com:443
- 備考:JSON出力をCIで扱うと便利です。
SSLscan
- 特徴:シンプルで高速に暗号スイートやプロトコルを列挙します。軽量ツールが好みの場面に向きます。
- 導入:aptやyumでインストール可能です(例:sudo apt install sslscan)
- 使い方:sslscan example.com:443
自動化とCIへの組み込み
- 各ツールは出力をファイルやJSONで保存できます。シェルスクリプトやGitHub Actions、GitLab CIに組み込み、プルリクエスト時にチェックする運用が有効です。
注意点
- 実行は必ず自分が管理するサーバーや許可のある対象で行ってください。不正なスキャンは問題になります。
