第54章ＳＳＬ制御の設定

この章では、ＳＳＬ制御機能を計画、設計、実装、および管理する方法について説明します。この章は、次のセクションで構成されています。

ＳＳＬ制御の概要

このセクションでは、ＳＳＬ制御の概要を説明します。このセクションには、以下のサブセクションがあります。

ＳｏｎｉｃＯＳファームウェアのバージョン４.０以上には、ＳＳＬ制御機能があります。ＳＳＬ制御は、ＳＳＬセッションのハンドシェークを認識するシステムで、ＳＳＬ接続の確立を制御するポリシーを構築できます。ＳＳＬ（セキュアソケットレイヤ）は、ＴＣＰベースネットワーク通信において中心的な規格であり、最も一般的な、よく知られているアプリケーションにはＨＴＴＰＳ（ＨＴＴＰｏｖｅｒＳＳＬ）があります。ＳＳＬでは、デジタル証明書に基づいてエンドポイントが識別され、暗号化されたダイジェストベースの機密性を有するネットワーク通信が行われます。


機能	利点
共通名ベースのホワイトリストおよびブラックリスト	管理者は、明示的に許可または拒否する証明書サブジェクトの共通名（「重要な概念」で説明します）のリストを定義できます。エントリの文字列が含まれるものは一致とみなされます。例えば、ブラックリストのエントリが”ｐｒｏｘ”の場合、”ｗｗｗ.ｍｅｇａｐｒｏｘｙ.ｃｏｍ”、”ｗｗｗ.ｐｒｏｘｉｆｙ.ｃｏｍ”および”ｐｒｏｘｉｆｙ.ｎｅｔ”は一致するものと判断されます。このため、管理者は、好ましくないと考えられるサブジェクトに対して発行された証明書を使用するＳＳＬ交換のすべてを、簡単に遮断することができます。その一方で、組織に共通する文字列をホワイトリストで定義することにより、その組織内のすべての証明書を簡単に許可することができます。各リストには、最大１,０２４のエントリを定義できます。クライアントがバックアップホスト名やバックアップＩＰアドレスを使用して、これらのサイトへのアクセスを隠そうとした場合であっても、証明書に含まれるサブジェクトの共通名が検査されるため、サブジェクトは証明書で必ず検出され、ポリシーが適用されます。
自己署名証明書の制御	ＳＳＬでセキュリティ保護された適切なサイトでは、既知の認証局によって発行された証明書を使用することが一般的であり、これはＳＳＬにおける信頼の基盤です。また同様に、（ＳｏｎｉｃＷＡＬＬセキュリティ装置のように）ＳＳＬによってセキュリティ保護されたネットワーク装置では、セキュリティ保護のための既定の方法として自己署名証明書を使用することが一般的です。したがって、閉鎖的な環境の自己署名証明書は疑わしくありませんが、公開されているサイトや商業利用サイトで使用されている自己署名証明書は疑わしいものです。自己署名証明書を使用する公開サイトでは、信頼性と識別のためではなく、暗号化のためだけにＳＳＬが使用されていることがよくあります。完全に不正なサイトとは言い切れませんが、ＳＳＬで暗号化されたプロキシサイトで一般的なように、隠蔽が目的である可能性が高いと言えます。自己署名証明書を遮断するポリシーを設定できるため、このようなサイトと通信する危険性からの防御が可能です。自己署名証明書を使用している既知の信頼できるＳＳＬサイトとの通信が遮断されないようにするため、ホワイトリスト機能を使用して明示的に許可することができます。
信頼できない認証局の制御	自己署名証明書が使用されている場合と同様、信頼できないＣＡによって発行された証明書が使用されている場合も、あいまい化のための信頼できない行為とは断定できませんが、信頼できるかどうか疑わしいことは確かです。ＳＳＬ制御機能では、ＳＳＬ交換で使用される証明書の発行者とＳｏｎｉｃＷＡＬＬの証明書ストアに保存されている証明書を比較することができます。証明書ストアには、現在のウェブブラウザと同じように、約１００個の既知のＣＡの証明書が保存されています。この証明書ストアに保存されていないＣＡによって発行された証明書がＳＳＬ制御機能によって検出された場合、ＳＳＬ接続を禁止できます。独自のプライベート認証局を組織で使用している場合は、このプライベートＣＡをＳｏｎｉｃＷＡＬＬの証明書ストアに簡単にインポートして、プライベートＣＡを信頼されたＣＡとして認識されるようにすることができます。証明書ストアには、最大256の証明書を保存できます。
ＳＳＬバージョン、暗号の強度、および証明書有効期間の制御	ＳＳＬ制御機能には、読み取られる可能性のあるＳＳＬｖ２を禁止する機能、脆弱な暗号（６４ビット未満の暗号）を禁止する機能、および証明書の日付の範囲が無効なＳＳＬネゴシエーションを禁止する機能など、ネゴシエーションの特性に基づいてＳＳＬセッションを管理する追加機能があります。これにより、管理者は、暗号に関する未知の脆弱性やセキュリティ警告の無視または誤解によって生じる危険にさらされることのない、厳重にセキュリティ保護された環境を構築して、ネットワークのユーザに提供できます。
ゾーンベースのアプリケーション	ＳＳＬ制御機能はゾーンレベルで適用されるため、管理者はネットワーク上でＳＳＬポリシーを執行できます。ＳｏｎｉｃＷＡＬＬは、ＳＳＬ制御機能が有効にされているゾーンのクライアントからＳｏｎｉｃＷＡＬＬを介して送信されるＣｌｉｅｎｔＨｅｌｌｏを検知すると、検査を開始します。続いて、ＳｅｒｖｅｒＨｅｌｌｏと、応答で送信される証明書が検知され、設定されたポリシーに従って評価されます。例えば、ＬＡＮゾーンでＳＳＬ制御を有効にすると、ＬＡＮ上のクライアントから開始され任意の送信先ゾーンに到達するすべてのＳＳＬトラフィックが検査されます。
設定可能なアクションおよびイベント通知	ＳＳＬ制御機能によってポリシー違反が検出された場合に、イベントをログに記録して接続を遮断することができます。あるいは、イベントをログに記録するだけで接続を継続することもできます。

ＳＳＬ制御の重要な概念

･ＳＳＬ－セキュアソケットレイヤ（ＳＳＬ）は、Ｎｅｔｓｃａｐｅが１９９５年に導入したネットワークセキュリティメカニズムです。ＳＳＬは、”２つの通信アプリケーション（クライアントおよびサーバ）間でのプライバシーの確保と、サーバ（および必要に応じてクライアント）の認証”を目的としていました。ＳＳＬの最も有名なアプリケーションはＨＴＴＰＳであり、ｈｔｔｐ：／／の代わりにｈｔｔｐｓ：／／で指定されます。ＨＴＴＰＳは、インターネット上のウェブトラフィックを暗号化する標準的な方式として認知されています。ＳＳＬＨＴＴＰ転送では一般的にＴＣＰポート４４３が使用されますが、通常のＨＴＴＰ転送ではＴＣＰポート８０が使用されます。ＳＳＬはＨＴＴＰＳで最もよく知られていますが、ＳＳＬの使用用途はＨＴＴＰのセキュリティ保護に限られたものではありません。ＳＳＬは、ＳＭＴＰ、ＰＯＰ３、ＩＭＡＰ、およびＬＤＡＰなどのその他のＴＣＰプロトコルのセキュリティ保護にも使用することができます。詳細については、〈http://wp.netscape.com/eng/security/SSL_2.html〉を参照してください。

ＳＳＬセッションの確立は、以下のように行われます。

･ＳＳＬｖ２－ＳＳＬの初期バージョンですが、現在も一般的に使用されています。ＳＳＬｖ２では、いくつかの脆弱性、制限、および理論上の欠陥（ＳＳＬｖ３についての説明で比較します）が指摘されていて、セキュリティに厳格な人々の冷笑、軽蔑の対象であり、軽視されるのが当然とみなされています。

･ＳＳＬｖ３－ＳＳＬｖ３はＳＳＬｖ２との下位互換性を保ちつつ、以下の点を改善する目的で作成されました。

･Ｄｉｆｆｉｅ-Ｈｅｌｍａｎを含む、代替鍵交換方式。

･鍵交換および一括暗号化の両方でのハードウェアトークンのサポート。

･ＳＨＡ、ＤＳＳ、およびＦｏｒｔｅｚｚａのサポート。

･バンド外データ転送。

･ＴＬＳ－ＴｒａｎｓｐｏｒｔＬａｙｅｒＳｅｃｕｒｉｔｙバージョン１.０（ＳＳＬｖ３.１とも呼ばれます）はＳＳＬｖ３に非常に似ていますが、以下のようにＳＳＬｖ３が改善されたものです。


ＳＳＬ	ＴＬＳ
暫定的なＨＭＡＣアルゴリズムを使用する	ＲＦＣ２１０４に既定されたＨＭＡＣを使用する
ＭＡＣをバージョン情報に適用しない	ＭＡＣをバージョン情報に適用する
パディング値を指定しない	パディングを指定された値に初期化する
不十分な警告	詳細な警告メッセージ

･ＭＡＣ－ＭＡＣ（メッセージ認証コード）は、（ＭＤ５またはＳＨＡ１のような）アルゴリズムをデータに適用して算出されます。ＭＡＣはメッセージダイジェストつまり一方向性ハッシュコードであり、算出は非常に簡単ですが、実際に不可逆的なコードです。言い換えると、ＭＡＣだけを使用して、ダイジェストの元になっているメッセージを割り出すことは理論上不可能です。同様に、同一のＭＡＣが算出される２つの異なるメッセージを見つけることも困難です。ある所定のデータに関して、受信側で算出されたＭＡＣが送信側で算出されたＭＡＣと一致する場合、受信側では、転送中にデータが変更されなかったとみなすことができます。

･ＣｌｉｅｎｔＨｅｌｌｏ－ＴＣＰセッションの確立後、クライアントからサーバに送信される最初のメッセージ。このメッセージによりＳＳＬセッションが開始されます。メッセージは次の要素で構成されています。

･バージョン－クライアントが通信での使用を希望するＳＳＬのバージョン。通常は、クライアントでサポートされているＳＳＬの最新バージョンです。

･乱数－３２ビットのタイムスタンプに２８バイトの乱数構造を組み合わせたもの。

･セッションＩＤ－セッションＩＤデータが存在しない場合は空（基本的に新しいセッションの要求の場合）です。あるいは、前に発行されたセッションＩＤを表します。

･暗号スイート－クライアントでサポートされる暗号化アルゴリズムのリストで、優先する順番に並んでいます。

･圧縮方式－クライアントでサポートされる圧縮方式のリストです（通常はヌル）。

･ＳｅｒｖｅｒＨｅｌｌｏ－ＣｌｉｅｎｔＨｅｌｌｏに対するＳＳＬサーバの応答。ＳＳＬ制御機能によって検査が行われるのはＳＳＬ交換のこの部分です。ＳｅｒｖｅｒＨｅｌｌｏには、セッションでネゴシエートされたＳＳＬのバージョン、暗号、セッションＩＤ、および証明書の情報が含まれています。Ｘ.５０９サーバの実際の証明書自体は、ＳＳＬ交換の別の手順で使用されますが、通常はＳｅｒｖｅｒＨｅｌｌｏと同じパケットで開始されます（終了も同じ場合があります）。

･証明書－Ｘ.５０９の証明書は、電子的なセキュリティを確保するための、不変のデジタルスタンプです。証明書には、主に４つの特性があります。

･共通名または識別名（ＣＮまたはＤＮ）によって証明書のサブジェクトが識別されます。

･通信相手との間のメッセージを暗号化および復号化するために使用する公開鍵が含まれます。

･証明書を発行した信頼できる組織（認証局）のデジタル署名が含まれます。

･証明書が有効な日付の範囲が示されます。

･サブジェクト－共通名（ＣＮ）で識別される証明書の保証。クライアントが〈https://www.mysonicwall.com〉のようなＳＳＬサイトをブラウズした場合、サーバからサーバの証明書が送信され、クライアントで評価されます。クライアントでは、証明書の日付が有効であること、信頼できるＣＡによって発行された証明書であること、サブジェクトのＣＮが要求したホスト名に一致すること（つまり両方とも”ｗｗｗ.ｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍ”であること、が確認されます。サブジェクトのＣＮが一致しないとブラウザの警告が表示されますが、これは偽装行為の確かな証拠とは限りません。例えば、クライアントが〈ｈｔｔｐｓ：／／ｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍ〉をブラウズし、ｗｗｗ.ｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍと同じＩＰアドレスに解決された場合、サブジェクトのＣＮがｗｗｗ.ｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍと記載されている証明書がサーバから示される場合があります。この場合、接続が完全に適切であるにもかかわらず、クライアントに警告が表示されます。

･認証局（ＣＡ）－認証局（ＣＡ）は、証明書のサブジェクトの識別情報を確認することを主な目的として、証明書に署名することができる信頼できる団体です。よく知られている認証局には、ＶｅｒｉＳｉｇｎ、Ｔｈａｗｔｅ、Ｅｑｕｉｆａｘ、ＤｉｇｉｔａｌＳｉｇｎａｔｕｒｅＴｒｕｓｔなどがあります。一般的に、ＳＳＬフレームワークにおいてＣＡが信頼できると判断されるためには、ほとんどのウェブブラウザ、オペレーティングシステムおよびランタイム環境で使用されているように、その証明書が信頼できるストアに格納されている必要があります。ＳｏｎｉｃＯＳの信頼できるストアには、「システム＞証明書」ページからアクセスできます。ＣＡモデルは信頼の積み重ねに基づいています。つまり、クライアントは（信頼できるストアにＣＡの証明書があることによって）ＣＡを信頼し、ＣＡは（証明書ごとにサブジェクトを発行することによって）サブジェクトを信頼するため、クライアントがサブジェクトを信頼する、ということになります。

･信頼できないＣＡ－信頼できないＣＡとは、クライアントの信頼できるストアに含まれていないＣＡのことです。ＳＳＬ制御機能における信頼できないＣＡとは、証明書が「システム＞証明書」にないＣＡのことです。

･自己署名証明書－発行者の共通名とサブジェクトの共通名が同一の証明書で、証明書に自己署名されていることを意味します。

･仮想ホスティング－１つのサーバで複数のウェブサイトをホスティングするために、ウェブサーバで使用されている方式。一般的な仮想ホスティング実装は名前ベース（ホストヘッダー）の仮想ホスティングで、１つのＩＰアドレスで複数のウェブサイトをホスティングできます。ホストヘッダー仮想ホスティングでは、サーバがクライアントから送信された”Ｈｏｓｔ：”ヘッダーを評価して、要求されたサイトを判断します。例えば、ｗｗｗ.ｗｅｂｓｉｔｅ１.ｃｏｍとｗｗｗ.ｗｅｂｓｉｔｅ２.ｃｏｍが両方とも６４.４１.１４０.１７３に解決されるとします。この場合に、クライアントが”ＧＥＴ／”とともに”Ｈｏｓｔ：ｗｗｗ.ｗｅｂｓｉｔｅ１.ｃｏｍ”を送信すると、サーバからそのサイトに該当するコンテンツが返されます。

一般的に、ホストヘッダー仮想ホスティングはＨＴＴＰＳでは使用されません。これは、ＳＳＬ接続が確立されるまでホストヘッダーを読み取ることができない一方、サーバが証明書を送信するまでＳＳＬ接続が確立できないからです。クライアントが要求しているサイトをサーバが判断できないため（ＳＳＬハンドシェークではＩＰアドレスがわかるだけなので）、サーバは送信する適切な証明書を決定できません。いずれかの証明書を送信すればＳＳＬハンドシェークを開始できますが、証明書の名前（サブジェクト）が一致しなければブラウザに警告が表示されます。

･脆弱な暗号－相対的に脆弱な対称暗号。暗号が６４ビット未満の場合、脆弱と分類されます。ほとんどの場合、エクスポート暗号は脆弱な暗号です。以下に、脆弱な暗号のリストを示します。

注意事項と推奨事項

1. 自己署名および信頼できないＣＡの有効化－これらの２つのオプションのいずれかを有効にする場合は、ＳＳＬでセキュリティ保護された組織内のネットワーク装置の共通名をホワイトリストに追加して、これらの機器への接続が遮断されないようにすることを強くお勧めします。例えば、ＳｏｎｉｃＷＡＬＬＵＴＭ装置の既定のサブジェクト名は”１９２.１６８.１６８.１６８”、ＳｏｎｉｃＷＡＬＬＳＳＬ-ＶＰＮ装置の既定の共通名は”１９２.１６８.２００.１”です。

2. 組織独自のプライベート認証局（ＣＡ）を導入している場合は、プライベートＣＡの証明書を「

システム＞証明書」ストアにインポートすることを強くお勧めします（特に、信頼できないＣＡによって発行された証明書の遮断を有効にする場合）。この処理の詳細については、『ＳｏｎｉｃＯＳ管理者ガイド』の「システム＞証明書」のセクションを参照してください。

3. 現段階では、ＳＳＬ制御機能による検査はＴＣＰポート４４３のトラフィックに対してのみ実行されます。標準以外のポートで行われるＳＳＬのネゴシエーションは、現段階では検査されません。

ＳｅｒｖｅｒＨｅｌｌｏの断片化－ＳＳＬサーバによってＳｅｒｖｅｒＨｅｌｌｏが断片化されることがまれにあります。この場合、現在のＳＳＬ制御機能の実装では、ＳｅｒｖｅｒＨｅｌｌｏを復号化できません。ＳＳＬ制御ポリシーがＳＳＬセッションに適用されず、ＳＳＬセッションが許可されます。

セッションの終了処理－ＳＳＬ制御機能では、ポリシー違反が検出されるとＳＳＬセッションを終了させますが、これはＴＣＰ層でのセッションを終了させるに過ぎません。この時点ではＳＳＬセッションが不完全な状態であるため、クライアントのリダイレクトや、終了に関する何らかの情報通知をクライアントに行うことはできません。

ホワイトリストの優先順位－ホワイトリストは、他のすべてのＳＳＬ制御要素より優先されます。ＳＳＬサーバ証明書がホワイトリストのエントリに一致すると、ＳＳＬセッションの他の要素が設定されたポリシーの違反に該当する場合であっても、ＳＳＬセッションの続行が必ず許可されます。これは、意図的に行われています。

7. ＳｏｎｉｃＯＳ５.０では、事前インストール済み（既知の）ＣＡ証明書の数が８から９３に増加しました。これにより、リポジトリはほとんどのウェブブラウザで使用されているものに非常に近くなりました。証明書に関しては、これ以外に以下の点が変更されています。

a. ＣＡ証明書の最大数が６から２５６に増加しました。

b. 個々のＣＡ証明書の最大サイズが２,０４８から４,０９６に増加しました。

c. ホワイトリストおよびブラックリストのエントリの最大数が、それぞれ１,０２４になりました。

ＳＳＬ制御の設定

ＳＳＬ制御は「ファイアウォール」パネルの「ＳＳＬ制御」フォルダで設定します。ＳＳＬ制御には、グローバル設定とゾーン単位の設定があります。既定では、ＳＳＬ制御はグローバルレベルでもゾーンレベルでも有効にされていません。ページに表示される各コントロールは、以下のとおりです（以下で使用する用語の詳細については、「ＳＳＬ制御の重要な概念」セクションを参照してください）。

･「ＳＳＬ制御を有効にする」－ＳＳＬ制御のグローバル設定。ゾーンに適用するＳＳＬ制御を有効にするには、この設定をオンにする必要があります。

･「イベントをログに記録する」－下部の「設定」セクションで定義されるＳＳＬポリシーに対する違反が検出された場合、イベントをログに記録しますが、ＳＳＬ接続の継続は許可されます。

･「接続をブロックしてイベントをログに記録する」－ポリシー違反が検出された場合、接続を遮断して、イベントをログに記録します。

･「ブラックリストを有効にする」－下部の「リストの設定」セクションで設定されるブラックリスト内のエントリの検出を制御します。

･「ホワイトリストを有効にする」－下部の「リストの設定」セクションで設定されるホワイトリスト内のエントリの検出を制御します。ホワイトリストのエントリは、他のすべてのＳＳＬ制御設定より優先されます。

･「期限切れの証明書を検出する」－開始日がシステム時間より前、または終了日がシステム時間より後の証明書の検出を制御します。日付の検証は、ＳｏｎｉｃｉＷＡＬＬのシステム時間を使用して行われます。「システム＞時間」ページの「システム時間」を適切に設定してください。できれば、ＮＴＰと同期をとります。

･「ＳＳＬｖ２を検出する」－ＳＳＬｖ２交換の検出を制御します。ＳＳＬｖ２は、ハンドシェークの整合性チェックを実行しないため、暗号低下攻撃を受ける可能性が高いとわかっています。ＳＳＬｖ２ではなく、ＳＳＬｖ３またはＴＬＳを使用することを強くお勧めします。

･「自己署名証明書を検出する」－発行者とサブジェクトの共通名が同一の証明書の検出を制御します。

･「信頼されていないＣＡが署名した証明書を検出する」－発行者の証明書がＳｏｎｉｃＷＡＬＬの「システム＞証明書」の信頼できるストアにない証明書の検出を制御します。

･「弱い暗号（６４ビット未満）を検出する」－一般的にエクスポート暗号で使用される、６４ビット未満の対称暗号でネゴシエートされたＳＳＬセッションの検出を制御します。

･「ＭＤ５ダイジェストを検出する」－ＭＤ５ハッシュを用いて作成された証明書の検出を制御します。

･［ブラックリストとホワイトリストの設定」－ＳＳＬ証明書の共通名との比較に使用する文字列を定義できます。エントリでは大文字と小文字が区別され、パターン一致方式で使用されます。例を以下に示します。


エントリ	一致するＵＲＬ	一致しないＵＲＬ
ｓｏｎｉｃｗａｌｌ.ｃｏｍ	ｈｔｔｐｓ：／／ｗｗｗ.ｓｏｎｉｃｗａｌｌ.ｃｏｍ、ｈｔｔｐｓ：／／ｃｓｍ.ｄｅｍｏ.ｓｏｎｉｃｗａｌｌ.ｃｏｍ、ｈｔｔｐｓ：／／ｍｙｓｏｎｉｃｗａｌｌ.ｃｏｍ、ｈｔｔｐｓ：／／ｓｕｐｅｒｓｏｎｉｃｗａｌｌ.ｃｏｍｐｕｔｅｒｓ.ｏｒｇ、ｈｔｔｐｓ：／／６７.１１５.１１８.８７ ¹	ｈｔｔｐｓ：／／ｗｗｗ.ｓｏｎｉｃｗａｌｌ.ｄｅ
ｐｒｏｘ	ｈｔｔｐｓ：／／ｐｒｏｘｉｆｙ.ｏｒｇ、ｈｔｔｐｓ：／／ｗｗｗ.ｐｒｏｘｉｆｙ.ｏｒｇ、ｈｔｔｐｓ：／／ｍｅｇａｐｒｏｘｙ.ｃｏｍ、ｈｔｔｐｓ：／／１０７０６５２２０４ ²	ｈｔｔｐｓ：／／ｗｗｗ.ｆｒｅｅｐｒｏｘｙ.ｒｕ ³

¹６７.１１５.１１８.５７はｓｓｌｖｐｎ.ｄｅｍｏ.ｓｏｎｉｃｗａｌｌ.ｃｏｍを解決すると得られるＩＰアドレスで、このサイトではｓｓｌｖｐｎ.ｄｅｍｏ.ｓｏｎｉｃｗａｌｌ.ｃｏｍに対して発行された証明書が使用されています。したがって、証明書の共通名の比較が行われるため、”ｓｏｎｉｃｗａｌｌ.ｃｏｍ”と一致するＵＲＬとして検出されます。

²これは、ＩＰアドレス６３.２０８.２１９.４４の１０進法表記です。この証明書はｗｗｗ.ｍｅｇａｐｒｏｘｙ.ｃｏｍに対して発行されたものです。

³ｗｗｗ.ｆｒｅｅｐｒｏｘｙ.ｒｕサイトの証明書の共通名は ”－” に対して発行された自己署名証明書であるため、”ｐｒｏｘ”には一致しません。ただし、自己署名証明書または信頼できないＣＡの証明書の制御を有効にすることで、このＵＲＬを簡単に遮断できます。

ホワイトリストおよびブラックリストを設定するには、「設定」ボタンを選択します。次のウィンドウが開きます。

各リストのウィンドウの下部にあるボタンを使用して、エントリを追加、編集、削除できます。

補足　リストの一致検出は、クライアントが要求したＵＲＬ（リソース）ではなく、ＳＳＬ交換でやり取りされる証明書のサブジェクト共通名に基づいて行われます。

ＳＳＬ制御設定を変更しても、その時点で確立している接続には反映されません。変更の確定後に行われる新しいＳＳＬ交換のみが検査され、影響を受けます。

ゾーンでのＳＳＬ制御の有効化

ＳＳＬ制御をグローバルに有効にし、必要なオプションを設定した後で、１つまたは複数のゾーンでＳＳＬ制御を有効にする必要があります。ＳｏｎｉｃＷＡＬＬは、ＳＳＬ制御機能が有効にされているゾーンのクライアントからＳｏｎｉｃＷＡＬＬを介して送信されるＣｌｉｅｎｔＨｅｌｌｏを検知すると、検査を開始します。続いて、ＳｅｒｖｅｒＨｅｌｌｏと、応答で送信される証明書が検知され、設定されたポリシーに従って評価されます。例えば、ＬＡＮゾーンでＳＳＬ制御を有効にすると、ＬＡＮ上のクライアントから開始され任意の送信先ゾーンに到達するすべてのＳＳＬトラフィックが検査されます。

補足　あるゾーン（例えば、ＬＡＮゾーン）のＳＳＬ制御を有効にして、そのゾーンのクライアントがＳｏｎｉｃＷＡＬＬに接続された別のゾーン（例えば、ＤＭＺゾーン）のＳＳＬサーバにアクセスする場合、そのサーバの証明書のサブジェクト共通名をホワイトリストに追加して、信頼できるアクセスが継続するようにすることをお勧めします。

ゾーンでＳＳＬ制御を有効にするには、「ネットワーク＞ゾーン」ページを表示して、必要なゾーンの設定アイコンを選択します。「ゾーンの編集」ウィンドウで、「ＳＳＬ制御を有効にする」チェックボックスを選択して、「ＯＫ」を選択します。これで、このゾーンで開始されるすべての新しいＳＳＬ接続に対して検査が実行されるようになります。

ＳＳＬ制御のイベント

ユーザが手動でログインした場合またはＣＩＡ／シングルサインオンによって識別された場合、ログイベントの備考セクション（非提示）にクライアントのユーザ名が保存されます。ユーザが識別できなかった場合、備考セクションではユーザが識別不能（Ｕｎｉｄｅｎｔｉｆｉｅｄ）であったことが示されます。


#	イベントメッセージ	発生条件
1	ＳＳＬ制御：証明書の日付が不正	証明書の開始日がシステム時刻より前か、終了日がシステム時刻より後です。
2	ＳＳＬ制御：証明書チェーンが不完全	信頼できる上位ＣＡを持つ中間ＣＡにより証明書が発行されていますが、ＳＳＬサーバが中間証明書を提示しませんでした。このログイベントは情報提供のためのもので、ＳＳＬ接続には影響しません。
3	ＳＳＬ制御：自己署名証明書	証明書が自己署名証明書です（発行者のＣＮとサブジェクトが一致）。
4	ＳＳＬ制御：信頼できないＣＡ	ＳｏｎｉｃＷＡＬＬの「システム＞証明書」ストアにないＣＡによって証明書が発行されています。
5	ＳＳＬ制御：ブラックリストに登録されたウェブサイト	サブジェクトの共通名がブラックリストに指定されたパターンと一致します。
6	ＳＳＬ制御：脆弱な暗号を使用	ネゴシエーションされた対称暗号が６４ビット未満でした。
7	＃２を参照	＃２を参照。
8	ＳＳＬ制御：ＳｅｒｖｅｒＨｅｌｌｏのデコード失敗	ＳＳＬサーバからのＳｅｒｖｅｒＨｅｌｌｏを判読できませんでした。ＳｏｎｉｃＷＡＬＬ装置上のＳＳＬサーバに接続する場合のように、証明書とＳｅｒｖｅｒＨｅｌｌｏが別のパケットのときにも発生します。このログイベントは情報提供のためのもので、ＳＳＬ接続には影響しません。
9	ＳＳＬ制御：ホワイトリストに登録されたウェブサイト	サブジェクト（通常はウェブサイト）の共通名がホワイトリストに指定されたパターンと一致します。ＳＳＬｖ２や脆弱な暗号など、ネゴシエーションの中でその他のポリシーの違反があった場合でも、ホワイトリストのエントリは常に許可されます。
10	ＳＳＬ制御：ＳＳＬｖ２でのＨＴＴＰＳ	ＳＳＬセッションのネゴシエーションでＳＳＬｖ２が使用されました。ＳＳＬｖ２は特定のＭａｎ-ｉｎ-ｔｈｅ-Ｍｉｄｄｌｅ攻撃を受けやすいとされています。ＳＳＬｖ２ではなく、ＳＳＬｖ３またはＴＬＳを使用することを強くお勧めします。