SSL 認証を行うためのプライベート認証局(CA)のリストを作成します。スキャン中に SSL 認証が必要な場合、Qualys によっていつも使用されている周知の認証局に加えて、カスタムリストが使用されます。
重要 - 追加した CA は、SSL を使用したすべてのチャネル認証で使用されるため、どの認証局を追加するかについては慎重に検討してください。不適切にインポートされた認証局証明書が原因となり、スキャン中、中間者攻撃を受けたり、SSL が危険な状態になる可能性があります。不適切な認証局証明書があると、スキャン中に使用するパスワーやその他の重要な情報を攻撃者がオンラインでの攻撃やオフラインでの攻撃で復元する可能性があります。
以下の理由があります。
1)Qualys のスキャナでは、スキャンの一環でサービスにアクセスする際に、さまざまな SSL 証明書を使用しています。例えば、認証スキャン中に SSL 経由で Authentication Vault に接続し、ログイン情報やパスワード情報を入手する場合があります。Thycotic Secret Server パスワード Vault に接続するためには SSL 検証が必要です。このパスワード Vault がプライベート認証局によって発行された証明書が設定されている場合、接続に成功するためには、サブスクリプションにカスタムルート CA をインポートします。この例は、VMware 認証で Hitachi ID PAM パスワード Vault に接続するために SSL が使用される場合にも適用されます。
2)スキャン中に https を介して利用できる内部 Web サーバのプライベート証明書を検証するために使用する場合があります。
3)信頼できる認証局をインポートしていない場合、Qualys のスキャナでは、内部の信頼できる有効な SSL 証明書とサービスが無効になります。
「Scans」->「Setup」->「Scanner Trusted CA」を選択します。
信頼できる認証局をインポートするには、「Browse」ボタンをクリックします。証明書ファイルには、“ -----BEGIN CERTIFICATE----- ”と“ -----END CERTIFICATE----- ”で囲まれている PEM 形式で署名済みの X509v3 証明書が 1 つ含まれている必要があります。この証明書ファイルの拡張子は“ .pem ”です。
インポートされた認証局は、ページの上部にリストで表示されます。リストにある認証局をクリックすると、証明書の発行者についての情報、証明書が有効だとされる期間、スキャナが SSL 検証で使用する MD5 および SHA1 フィンガープリントなどの詳細が表示されます。
リストにある認証局を選択して、「Remove」ボタンをクリックするだけです。データベースから認証局が削除され、以後 SSL 検証では使用されなくなります。
有効期限が切れた CA 証明書は、すぐにわかるように赤色で強調表示されます。有効期限が切れた CA 証明書が使用されると、SSL 検証は失敗します。脆弱性評価テスト中に有効期限の切れたカスタム CA 証明書が使用されると、QID 38167“ SSL Certificate - Expired ”が脆弱性スキャン結果にレポートされます(この QID は、証明書の有効期限が切れたために失敗した接続をパスワード Vault にはレポートしません)。