TLS設定

TLS設定では、次の設定ができます:

• TLSネゴシエーション。
• クライアントTLS証明書。
• サーバTLS証明書。
• Java TLS設定。

TLSネゴシエーション

Burpが上位のサーバとTLSネゴシエーションを実行するときに使う、TLSプロトコルと暗号を制御します。

アップストリームTLSの検証を有効にするには、アップストリームTLSの検証をクリックし、Burpに使用させたいプロトコルと暗号を選択します。次のことが可能です:

• Javaインストールがサポートするすべてのプロトコルと暗号を使用する。
• Javaインストールのデフォルトプロトコルと暗号を使用する。
• カスタムプロトコルと暗号を使用する。このオプションを選択し、必要なプロトコルと暗号を選択します。

さらに次のオプションがあります:

• 安全ではないTLSリネゴシエーションを許可する - このオプションは、クライアントTLS証明書を使うときや、他のTLSの問題を回避するのに必要な場合があります。
• TLSセッションの再開を無効にする - このオプションは、TLS接続をキャッシュし、リクエスト間で再利用するかどうかを制御します。セッション再開を使用すると作業効率が上がりますが、状況によっては問題が発生する可能性があります。

TLSネゴシエーション設定は、プロジェクト設定です。現在のプロジェクトにのみ適用されます。

クライアントTLS証明書

宛先ホストがクライアントTLS証明書を要求してきたときに使う証明書を設定できます。複数の証明書を設定でき、それぞれの証明書を使用するホストを指定できます。

ホストがクライアントTLS証明書を要求してきたとき、ホスト設定リストで最初に一致する証明書を使用します。

クライアントTLS証明書を追加するには、追加をクリックしてクライアントTLS証明書ダイアログを表示し、宛先ホストと証明書タイプを入力します。

宛先ホスト

関連付けるホストの名前です。ワイルドカードを使用できます:

• *は、0文字以上にマッチします。
• ?は、ドット以外のすべての文字にマッチします。

すべてのホストで同じ証明書を使うには、宛先ホストを*にします。

証明書タイプ

Burpは次の証明書タイプに対応しています:

• ファイル(PKCS#12) - このフォーマットの証明書は、拡張子が.p12である必要があります。証明書ファイルの場所と証明書のパスワードを選択します。
• ハードウェアトークンやスマートカード(PKCS#11) - メニューから、デバイスのPKCS#11ライブラリファイルの場所を選択します。Windowsでは、インストールされているライブラリファイルを一般的な場所から自動的に探せます。PINコードも入力し、利用可能な証明書を選択する必要があります。

また必要に応じて、ルールリストの編集や並べ替えもできます。

クライアントTLS証明書設定は、ユーザレベルとプロジェクトレベルの両方で適用できます。このプロジェクトにのみ適用を選択すると、選択した設定は現在のプロジェクトにのみ適用されます。

サーバTLS証明書

この情報パネルには、Webサーバから受信したすべてのX509証明書の詳細があります。リスト内のアイテムをダブルクリックすると、証明書の詳細が表示されます。

サーバTLS証明書設定は、プロジェクト設定です。現在のプロジェクトにのみ適用されます。

Java TLSオプション

一部のサーバへ正常に接続するために必要となるTLS機能を有効にします。次のオプションがあります:

• Javaセキュリティポリシーでブロックされたアルゴリズムを有効にする - Java 7でJavaのセキュリティポリシーを使用すると、TLSネゴシエーションで古いアルゴリズムが使われないようブロックできます。これらのアルゴリズムの一部(例えばMD2)は、デフォルトでブロックされています。しかし稼働している多くのWebサーバは、これらの古いアルゴリズムのTLS証明書を使っています。デフォルトのJavaのセキュリティポリシーではこれらのサーバに接続できません。この設定を有効にすると、Burpがこれらのサーバに接続するときに、廃止されたアルゴリズムを使用できます。この設定の変更を有効にするには、Burpを再起動してください。
• Java SNI拡張を無効にする - Java 7で、TLS Server Name Indication(サーバ名表示、SNI)拡張が実装され、デフォルトで有効になっています。設定が正しくないままSNIの有効にしているWebサーバが、TLSハンドシェイクで"Unrecognized name(認識できない名前)"という警告を送信することがあります。ブラウザはこの警告を無視しますがJava実装は無視しないので、接続に失敗します。JavaのSNI拡張を無効にしてサーバに接続する場合は、この設定を使用します。この設定の変更を有効にするには、Burpを再起動してください。

JAVA TLS設定は、プロジェクト設定です。現在のプロジェクトにのみ適用されます。