CLOVER🍀

That was when it all began.

暗号化アルゴリズムやSSL/TLSなどの、セキュリティガイドラインに関する資料

どういうところを見るのがよいのかな、と時々思うので。

やっぱり、NISTなんでしょうか。

Cryptographic Standards and Guidelines | CSRC

SP 800-52 Rev. 2, Guidelines for the Selection, Configuration, and Use of Transport Layer Security (TLS) Implementations | CSRC

英語…と思って眺めていたのですが、IPAに翻訳文書もあるんですね。

セキュリティ関連NIST文書について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

見るのは「SP800」と呼ばれる資料のようなのですが、SP800というのは

SP800シリーズは、CSDが発行するコンピュータセキュリティ関係のレポートです。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書です。

だそうです。

SP800シリーズとは

ちょっとメモしておきましょう。

TLSに関しては、IPAが公開しているガイドラインも良さそうですね。

TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

IANAのTLS Parametersも。

Transport Layer Security (TLS) Parameters

追記)
Mozillaが公開している推奨構成に関するページもあったので、別エントリーを書きました。

Mozillaの「Security/Server Side TLS」でSSL/TLSの推奨構成の確認を、「SSL Configuration Generator」でサーバーのSSL/TLSの設定を生成する - CLOVER🍀