のんびりブログ

サイバーセキュリティを中心にいろいろつぶやきます。

期限切れのSSL証明書:ウェブセキュリティの時限爆弾

のんびりパンダです。

今日はウェブページの安定性にあたって必須であるSSL証明書についてです。

前よりは簡潔できれいに書きたいけど、どうかな。 ~( ̄▽ ̄;)~

 

1. SSL証明書とは

SSLSecure Sockets Layerの略語で、

サーバーとブラウザーがお互いやりとりするデータ暗号化し、

そのデータが安全に届くようにしてくれるプロトコルのことです。

そしてそのプロトコルを用いるセキュリティ通信を可能にするのが

SSL証明書です。

 

証明書ごとにはそれぞれの更新期限が与えられているんですが、

2020年の9月から、証明書は最大1年までしか発給できないし、

さらに自動で更新される機能もないので、

必ず更新日に合わせて証明書を再発給・設置しなければなりません。

 

 

2. SSL証明書、期限切れになると?

それにもかかわらず、

世界中にはSSL証明書が期限切れになったまま

漏えいされているウェブページがまだ多くあるそうです!

その場合、脆弱なセキュリティ設定のためユーザーの信頼度が低下したり、

ブラウザーの入力情報が漏えいされ被害を受ける可能性もあります。

そうならないためにはまず、期限切れの可否をチェックしないとですね!

証明書の期限が切れたページをみると、ウェブサイトへの信頼が下がる

 

証明書ごとに違う更新期限をいちいち確認する代わりに

OSINT検索エンジンを使えば、簡単に探したい情報が取れるそうです!

今度も便利で使いやすいCriminal IPを使ってさっそく探していきます。

 

 

3. SSL証明書の期限が切れたページを探す方法

# 検索キーワード: "ssl_expired: true"
(タイトルをクリックすると、検索結果ページに移動します)

▲ 数多く存在する期限切れの証明書を持つウェブページの結果

まず、世界中に期限内に更新されなかった証明書をもっているページがどのぐらいあるのか把握してみます。

 

キーワードをかけて検索してみると、1,500万個を超えるウェブページの証明書が既に更新期限が切れたまま置かれていることが分かります。

 

 

# 検索キーワード: "as_name: 会社名 ssl_expired: true"
(タイトルをクリックすると、検索結果ページに移動します)

▲ 例として「楽天」をキーワードで探してみた結果

ssl_expired: true」フィルターの前に「as_name: 会社名」フィルターを加えてかけると、

その会社・サービス別に絞って検索をすることができます。

 

例として楽天のケースを検索してみたら、

総計805個の証明書期限切れのページが出てきました。

 

ページを管理する運営者にも、気になる利用者にも

これは役に立ちますよね。

 

 

# 検索キーワード: "html_meta_title: login ssl_expired: true" 
(タイトルをクリックすると、検索結果ページに移動します)

最後には、ログイン機能でユーザーの情報を収集するウェブブラウザーの証明書が

期限切れになった場合を検索してみました。

その結果、約290件に至るログインページの証明書が期限切れの状態でした。

ログインページがハッキング攻撃のターゲットになると、

ユーザーの個人情報が奪われる恐れもあります。

 

それは運営側からも、利用者からも

避けたい最悪な状況でしょう。

 

 

4. おわりに

放置すると深刻なセキュリティ問題をもたらせるけど、

期限内にちゃんと更新するだけで

安定性や信頼度を同時にアップさせることができるSSL証明書

 

これからはOSINT検索エンジンで簡単に潜在的脅威を検知し、

安全安心のウェブサイト使用環境を作っていくのはどうでしょうか。