どういうところを見るのがよいのかな、と時々思うので。
やっぱり、NISTなんでしょうか。
Cryptographic Standards and Guidelines | CSRC
SP 800-52 Rev. 2, Guidelines for TLS Implementations | CSRC
英語…と思って眺めていたのですが、IPAに翻訳文書もあるんですね。
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
見るのは「SP800」と呼ばれる資料のようなのですが、SP800というのは
SP800シリーズは、CSDが発行するコンピュータセキュリティ関係のレポートです。米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられた文書ですが、 内容的には、セキュリティマネジメント、リスクマネジメント、セキュリティ技術、セキュリティの対策状況を評価する指標、セキュリティ教育、インシデント対応など、セキュリティに関し、幅広く網羅しており、政府機関、民間企業を問わず、セキュリティ担当者にとって有益な文書です。
だそうです。
ちょっとメモしておきましょう。
TLSに関しては、IPAが公開しているガイドラインも良さそうですね。
TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構
IANAのTLS Parametersも。