あのサイトはセキュア? Heartbleed含め総合判断できるツールで調べてみた
世界のサイトの3分の2を巻き込む史上最大級のバグ「Heartbleed」。
金曜にはシスコ、ジュニパーからも注意勧告が出て、サイトのみならずファイアウォール、ルーター、スイッチのネットワーク機器にまで被害が拡大していることが明らかになりました。
もはや、2年前からずっとバグの存在を知っていながら国民に知らせずコレ幸いにせっせと脆弱性突いて諜報活動に励んでいたのは米国家安全保障局(NSA)ぐらい、という笑えない状況です。
気になるのは、どのサイトがセーフでどのサイトがアウトか、ですが、パスワード変更が要るサイトはこちら。
あと、ドメインを入力するだけでHeartbleed脆弱性の有無を判断できるツールもこことかに出てきましたよ(使うのも勇気要るけど)。
セキュリティ会社「Qualsys」の診断ツール「SSL Server Test」では、使用プロトコル、鍵交換、暗号化技術の3点を解析し、SSLのセキュア度を総合判定してくれます。100点満点の80点以上はA、65点以上はB、という具合に。但し、@ITさんの記事にもあるように、判定するときは表に出ないように、すぐ下の「Do not show the results on the boards」にチェックを入れた方が…。
参考までに米ギズが大手サイトのトップドメインで調べてみた結果を貼っておきますね(順序はトラフィック順)。
総合Top 10
google.com - A
youtube.com - A
facebook.com - A-
msn.com - "サーバーに接続できません"
yahoo.com - A
twitter.com - A-
answers.com - "証明書が無効です"
amazon.com - B
microsoft.com - B
yelp.com - B
金融サイトTop 10
paypal.com - A-
wellsfargo.com - B
irs.gov - F
chase.com - A-
bankofamerica.com - B
capitalone.com - A-/F
hrblock.com - A-
americanexpress.com - B
citibank.com - C
fidelity.com - B/F
ショッピングサイトTop 10
amazon.com - B
ebay.com - B
walmart.com - F
apple.com - A-/F
target.com - F
fandango.com - F
bestbuy.com - "Certificate name mismatch"
etsy.com - A-
sears.com - F
homedepot.com - F
ソーシャルメディアTop 10
facebook.com - A-<
twitter.com - A-
tumblr.com* - A
pinterest.com - B
linkedin.com - B/F
reddit.com - F
flickr.com - A
instagram.com - A
myspace.com - A-
sulia.com - B
* TumblrのトラフィックはYahoo.comの一部なので順位が若干異なるかもしれません。
Adam Clark Estes - Gizmodo US[原文]
(satomi)
- MAKERS―21世紀の産業革命が始まる
- クリス・アンダーソン|NHK出版