ウィスキー、シガー、パイプをこよなく愛する大栗です。 最近ブラウザから簡単に証明書を発行できる ZeroSSL というサービスで証明書を発行したことがあったのでまとめてみます。 ZeroSSL (8月21日追記) ACME 経由であれば無制限に無料で証明書を発行できる旨を追記しました ZeroSSL 無料で SSL/TLS 証明書を発行できるサービスと言うと Let's Encrypt を利用されている方が多いと思います。2023年8月時点で Let's Encrypt が発行している有効な証明書は2億8000万を超えています1。Let’s Encrypt は素晴らしいサービスですが、単一障害点になっていることに警鐘を鳴らしているセキュリティ研究者もいます2。別の選択肢として ZeroSSL を紹介しています。 Let's Encrypt では certbot の様なコマンドを使用して S
インターネットにおける通信の安全性はTLS(Transport Layer Security)に強く依存している。TLSはアプリケーション層に依存しないように設計された通信暗号化の標準規格だ。HTTPをはじめとするさまざまなプロトコルがTLSを使って通信を暗号化している。このTLSに「ALPACA Attack」(アルパカ攻撃)と呼ばれる新しい問題が報告された。 ALPACA Attackはドイツのルール大学ボーフム、ミュンスター応用科学大学、パーダーボルン大学の研究者らによって発見された。「ALPACA」はこの問題を発表した論文「Application Layer Protocol Confusion - Analyzing and mitigating Cracks in tls Authentication」のタイトルに由来する。
ALPACA Attack
Paper Q&A How to ALPN/SNI Updates! News A big reevaluation of TLS libraries, TLS application servers, and a new internet scan by Jannik Hölling is now available in the Updates section! ALPACA will be presented at Black Hat USA 2021, USENIX Security Symposium 2021, and Real Word Crypto Symposium 2022! Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an
本記事は、ラムダノートで発売している『プロフェッショナルSSL/TLS』を買っていただいた方向けに「読んで」とお願いするための「私家版、読み方のおすすめ」です。本なので、どう読んでもらってもいいんですが、「買ったはものの積読になっている」という方の背中を押せればと思います。 この本は、プロトコルであるTLSの解説書であると同時に、「インターネットで安全にやっていく」ための感覚のベースラインを与えてくれる本です。 そういうつもりで、まずは第1章を読んでみてください。 知ってる話も知らない話もあると思いますが、20ページくらいしかないので、とりあえず読みましょう。 ここを読むと、現代のTLS以前の古典的な暗号、ハッシュ、認証について、安全かどうかを考えるためのフレームワークが得られます。 カタログ的ではないので、そういうのは期待しないでください。 なお、現在のバージョンには「認証付き暗号」とい
いつもはてなブログをご利用いただきありがとうございます。 ご利用されているブログがHTTPで配信されている(URLが「http://」から始まる)場合、2020年1月23日(木)以降、順次ご利用中のブログのヘッダにてログイン状態が取得できない、コメントが投稿できないなど、一部の機能が動作しなくなります。つきましては、以下の内容をご確認いただき、HTTPS配信への切り替えを行うことを推奨いたします。 ブラウザによっては「http://」部分が表示されず、「保護されていない通信」などの表示が出ます 発生する問題 HTTPで配信されているはてなブログを閲覧した際に、 ヘッダにてログイン情報が取得できない(はてなにログインしているにも関わらず、「ログイン」などが表示される) 読者登録を行っていても、登録状況が反映されない コメント投稿ができない といった問題が発生します。これらの問題は、今後ブラウ
[PDF]Serving Netflix Video at 400Gb/s on FreeBSD - NETFLIX, Drew Gallatin at EuroBSDCon 2021
Serving Netflix Video at 400Gb/s on FreeBSD Drew Gallatin EuroBSDCon 2021 Outline: ● Motivation ● Description of production platform ● Description of workload ● To NUMA or not to NUMA? ● Inline Hardware (NIC) kTLS ● Alternate platforms Motivation: ● Since 2020, Netflix has been able to serve 200Gb/s of TLS encrypted video traffic from a single server. ● How can we serve ~400Gb/s of video from the s
「繋がらない」を解決するステップ - Link and Motivation Developers' Blog
はじめに こんにちは。 リンクアンドモチベーション SREの篠原です。 普段アプリケーションの開発をしていると、何かしらに繋がらなくて困るといった場面は少なくないと思います。 立ち上げたはずのwebアプリにアクセスできない アプリとDBが疎通できない 〇〇のサーバにSSHできない 現在SREとして、そして過去インフラエンジニア/システム管理者としての経験もある筆者がこのような時にどうやって調査し解決しているかを紹介します。 特に若手の開発者やインフラエンジニアの方々に参考になれば幸いです。 (あくまで個人の考えのため、もしより良い方法などありましたらぜひコメントで教えてください!) L4レベルで疎通できるか確認 役に立つコマンド nc telnet curl OSI参照モデルにおけるL4、トランスポート層での通信ができるかどうかをまず確認します。 誤解を恐れずにいうと具体的にはIPアドレス
The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.
TLS 1.3 学習ノート
はじめに これは筆者が TLS 1.3 を学習した時のメモを記事にしたものです。 内容の正確性は担保できませんので、あらかじめご了承ください。 参考にした書籍 プロフェッショナルSSL/TLS (ISBN: 978-4-908686-00-9) ラムダノートでを購入するとダウンロードできる特別版PDFも参照しています 徹底解剖 TLS 1.3 (ISBN: 978-4-7981-7141-8) 参考にしたウェブサイト うるふブログ | wolfSSL Wikipedia IT用語辞典 e-Words TLS とは? TLS は Transport Layer Security の略で、インターネット上で安全に通信を行うためのプロトコルです。 インターネット上で安全に通信を行う必要性 前提として、インターネットはセキュリティが考慮されていません。 もともとインターネットは、大学間で少数のノー
図1: QUICの無効化は待ってくださいQUICを無効化?!“Googleが遅く感じるので、QUICを無効化する” そのようなTIPSが散見されます。数年前から見ていましたが、QUICがトレンドになったのと同時に、再び目立ち始めたと感じています。IPv6が普及し始めた時期もそうでしたが、新しいプロトコルの出現時には、決まって現れる文言です。 問題に直面する利用者にとっては切実であり、無効化は間違った解決手段とは言いません。しかしエンジニアならば無効化する前に、原因を探求しなければなりません。 HTTP3/QUIC と HTTP2/TCP どちらが優先?QUICの無効化とは、TCPだけを利用する選択と言えます。はじめにQUIC, TCPの両者が使えるとき、どのように使い分けるのか見ていきます。 ある、HTTPSスキームのURL https://www.example.com/ があったとき、
ここ最近なって、Gmailで他のメールサーバー経由でのメール送信がエラーになる問題が発生しているようです。 現象 メールを送信した後にこのようなエラーが返ってきます。 メールの配信エラー [名前] の機能を使用して、別のアドレスまたは別のエイリアスからこのメールを送信しようとしています。[名前] のアカウントの設定に誤りがあるか、設定が最新の状態ではありません。設定を確認して、もう一度送信してみてください。 SMTPの設定に問題があるのかな、と思い改めて入力してもこのエラー。 エラーメッセージは TLS Negotiation failed, the certificate doesn't match the host., code: 0 とあるので、接続先のドメイン名と証明書のドメイン名が異なっている模様。 原因はおそらくGmailのセキュリティー強化。 G Suite アップデート ブ
GnuTLSの脆弱性でTLS1.3の再接続を理解する(Challenge CVE-2020-13777) - ぼちぼち日記
(TLDR; めちゃくちゃ長くなったので、長文読むのが苦手な方は読まないようお願いします。) 1. はじめに 前回の「求む!TLS1.3の再接続を完全に理解した方(Challenge CVE-2020-13777)」 の記事にて、GnuTLSの脆弱性(CVE-2020-13777)のPoCを募集しました。 短い期間にも関わらず2名の方から応募を頂き、本当にありがとうございます。 また、応募しなかったけど課題に取り組んで頂いた方もいらしゃったようです。この課題を通じて、いろいろな方がTLS1.3仕様(RFC8446)に触れる機会を持っていただいたことを非常に嬉しく思います。 全くの初心者ではやはり課題が難しいとの意見もいただきました。今後はもう少し幅広い人に手をつけやすいよう工夫が必要であると感じていますが、はてさてどうしたらいいか、なかなか難しい。なんにせよ初めての試みでしたが、やってみて
プライム・ストラテジー「KUSANAGI」の開発チームの石川です。 「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる世界最速クラスの仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただくほか、お客様のウェブサイトを「KUSANAGI」で運用しています。 この連載では、「KUSANAGI」の開発やお客様とのお話の中で感じた課題や実際の運用の中で得た知見などをお伝えしています。 今回は次世代のHTTPとも呼ばれる「HTTP/3」の裏側で使われている「QUIC(クイック)」についてお話ししたいと思います。 Googleが通信パフォーマンス改善について追求した「QUIC」 QUICはもともとGoogleによって設計されたトランスポート層の通信プロトコルです。 Googleがプロトコルを開発することを意外に思う人がいるかもしれませんが、Googl
様々な組織や団体がTLSを安全に利用するためのドキュメントを出してたりする。 IETFでも2015年にRFC7525 「Recommendations for Secure Use of TLS and DTLS」として、使用する上での推奨事項をまとめている。 それについての詳細は、urushima先生の記事を見ていただくと良いと思う。 blog.livedoor.jp 上記のRFC7525から5年が経ち、その間にRFC 8446 TLS1.3の発行などもありました。そのため、IETFではこのRFC7525の改定作業が開始されました RFC7525bis IETFのUTA (Using TLS in Applications) WGでは、RFC7525の改訂版として、次のドキュメントをすでにWG Itemとして扱っている draft-ietf-uta-rfc7525bis ここでは、簡単に
GoでHTTPサーバーを書いているときなどオレオレ証明書がほしいときに役立つワンライナー。 go run $(go env GOROOT)/src/crypto/tls/generate_cert.go -rsa-bits 2048 -host localhost cert.pemとkey.pemが用意できる。 openssl使ったりmkcert使ったりしていたけどGo使っていたらこれで良さそう。 cf. Source file src/crypto/tls/generate_cert.go
Photo by Uzoma Ozurumba, CC BY-SA 4.0, no changesI’m generally a big fan of encrypted DNS for the security it provides with negligible performance impact. But I recently found out the hard way that DNS over TLS/HTTPS can deadlock with Network Time Protocol (NTP) on embedded devices without a battery-backed real-time clock. Many low-cost routers lack a battery for keeping time during power loss. Af
Microsoftは8月1日(米国時間)、「TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub」において、2023年9月にビルドを開始する「Windows 11 Insider Preview」において「TLS 1.0」および「TLS 1.1」をデフォルトで無効化すると伝えた。これは近い将来のWindows 11でTLS 1.0およびTLS 1.1がデフォルトで無効化されることを意味している。 TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub TLS (Transport Layer Security) 1.0は1999年に発表、TLS 1.1は2006年に発表された通信プロトコル。暗号
A Rust-based TLS library outperformed OpenSSL in almost every category
A tiny and relatively unknown TLS library written in Rust, an up-and-coming programming language, outperformed the industry-standard OpenSSL in almost every major category. The findings are the result of a recent four-part series of benchmarks [1, 2, 3, 4] carried out by Joseph Birr-Pixton, the developer behind the Rustls library. Benchmark resultsThe findings showed that Rustls was 10% faster whe
APIdays Paris 2019 - Innovation @ scale, APIs as Digital Factories' New Machi...
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads 71 Ads API 11
TLS 1.2 がすべての AWS API エンドポイントへの接続に必要な最小バージョンになります | Amazon Web Services
Amazon Web Services ブログ TLS 1.2 がすべての AWS API エンドポイントへの接続に必要な最小バージョンになります 2023年12月12日に、原文のブログ記事の更新にあわせて、内容を更新しました。 2023年3月9日に、AWS CloudTrail Lake の記載について一部内容を更新しました。 2023年9月28日: AWS GovCloud (US) が完了し、AWS はすべての AWS GovCloud (US) パブリック API エンドポイントで TLS 1.2 以上の使用を強制します。 2023年6月1日: このブログ記事は、主要な日付を明確にするためにタイムラインを追加するために更新されました。AWS ワークロードの中断を避けるためには、TLS 1.0/1.1のソフトウェアクライアントを遅くとも2023年6月28日までにアップデートする必要が
Contents Mise en bouche Let's start with HTTP/1.1 The practicalities of proxying HTTP/1.1 Also, TLS Making HTTP/1.1 requests with reqwest Making HTTP/1.1 requests with hyper Making HTTP/1.1 requests ourselves Making HTTP/2 requests with hyper Making HTTP/2 requests with h2 Making HTTP/2 requests ourselves HTTP semantics over HTTP/2 Bugs, bugs, bugs! Afterword HTTP does a pretty good job staying ou
Google ChromeやEdge、FirefoxなどのWebブラウザーを利用してWebサイトを閲覧したり、メールの送信先をアドレスで指定したりするときに欠かせないのがDNS(Domain Name System)だ。URLやメールアドレスに含まれるドメインからサーバーのIPアドレスを調べる「名前解決」に使う。 DNSサーバーには、名前解決に使うアドレスを示すレコード(AやAAAA)やメールサーバーのホストを示すレコード(MX)のほかに、メールのセキュリティー機能などに使うテキスト情報のレコード(TXT)、特定の用途(プロトコル)に使うホスト名やポート番号などを示すレコード(SRV)などが登録されている。このDNSに新しいレコード「HTTPSリソースレコード」が追加され、利用される機会が増えている。 インターネットイニシアティブ(IIJ)が調査した結果によると、同社のDNSサーバーへの問
ついにWindowsのOSレベルで「TLS 1.0/1.1」が既定で無効化へ、その影響を調査するには
ついにWindowsのOSレベルで「TLS 1.0/1.1」が既定で無効化へ、その影響を調査するには:企業ユーザーに贈るWindows 11への乗り換え案内(20) MicrosoftはTLS 1.0と1.1を、WindowsのOSレベルで既定で無効化することを発表しました。まずは、2023年9月のWindows 11 Insider Previewで実施し、その後、サポートされるWindowsのリリースビルドに対して実施対象が広げられる予定です。 企業ユーザーに贈るWindows 11への乗り換え案内 TLS 1.0/1.1排除の流れは数年前からのインターネットのトレンド Microsoftは2023年8月1日(米国時間)、「Windowsクライアントの非推奨の機能」のページを更新し、WindowsにおけるMicrosoftは「Transport Layer Security(TLS)」
Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。"
HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。
Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ | スラド セキュリティ
Let's Encryptがルート証明書の切り替えに向け、古いバージョンのAndroidへの対策をサイトオーナーとユーザーに呼びかけている(Let's Encryptのブログ記事、 The Registerの記事)。 5年前にLet's Encryptが立ち上げられた際にはIdenTrustのクロス署名を得たルート証明書「DST Root X3」を使用することで、メジャーなソフトウェアプラットフォームすべてで信頼される証明書をすぐに発行することが可能だったという。しかし、DST Root X3は2021年9月1日に失効する(ただし、実際に証明書を見ると有効期限は日本時間2021/9/30 23:01:15となっている)。他のCAからクロス署名を得た証明書を使い続けることはリスクが高いため、Let's Encryptでは既に独自のルート証明書「ISRG Root X1」を発行している。このル
「硬直化(ossification)」はあまり聞き慣れない言葉だが、インターネットやWebの通信において問題となってきています。 新しい機能の展開を阻害するこの問題は、HTTPにおけても問題になっておりましたが、HTTPの標準化を行うIETFで動きがありました。 IETFのHTTP WGではオープンレターとして「HTTP and Web Application Firewalls: Managing Ossification Risk」を公開し、WAFベンダと連携してこの問題に取り組んでいく意思が示されています。 この事に関して簡単に説明していきます 目次 硬直化(ossification) とは HTTPにおける 硬直化(ossification) グリス (GREASE)の例 HTTPにおけるGREASE 硬直化(ossification) とは 「硬直化(ossification)」
インターネットの安全を支えるOpenSSL TLSはインターネットを安全に利用する上で欠かすことのできない重要な要素だ。そして、その実装系のひとつであるOpenSSLは多くのサーバ管理者にとって欠かすことのできないソフトウェアとなっている。 ユーザーの多くはOpenSSLについて気にも留めていないか、パワーユーザーであればOpenSSLを暗号系のライブラリまたはフレームワークといった類のもの、という認識を持っているのではないだろうか。Webサーバの管理者であれば、Webサーバをセットアップする最初の段階で証明書の作成に利用するツールという認識を持っているかもしれない。しかし、OpenSSLはそれだけのソフトウェアではない。 OpenSSLは証明書署名要求や自己署名証明書の生成のみならず、ファイルの暗号化や復号化、証明書の検証や証明書有効期限の確認など、さまざまな機能を提供するコマンドでもあ
不特定多数のウェブサイトにアクセスするアプリケーションを書いていると、ときおり SSL 証明書の検証エラーとなる URL に行き当たることがある。が、確認のためブラウザでアクセスしてみると、普通に見れてしまったりもする。そんな事例のひとつ、タイトルの通り中間CA証明書のないサーバについて。 https://incomplete-chain.badssl.com/ というわかりやすい例がある。これを curl してみると: % docker run -it --rm buildpack-deps:buster bash root@22f1788d53c7:/# curl --version curl 7.64.0 (x86_64-pc-linux-gnu) libcurl/7.64.0 OpenSSL/1.1.1d zlib/1.2.11 libidn2/2.0.5 libpsl/0.20.
まとめ Erlang/OTP の分散機能利用時のサーバー間通信はデフォルトでは暗号化されていない Erlang/OTP が提供する分散機能の暗号化は TLS を利用する Tailscale で P2P VPN をサーバー間で張って Erlang/OTP の分散機能オススメ Erlang 分散機能 時雨堂で開発しているミドルウェアソフトウェアは Erlang/OTP (以下 Erlang) を利用しています。 Erlang は分散機能が入っています。分散機能を簡単に説明すると、他のサーバーにある Erlang とやりとりができる仕組みです。 このときにサーバ間を利用する際に、暗号化が必要になりますが、Erlang が標準で提供為てる機能はサーバー間通信を TLS にする方法がありますが、Erlang に TLS 処理させるのは CPU も食べるしお勧めはできません。 Erlang -- Us
セキュリティ Appleのデバイス、プラットフォーム、およびサービスは、世界最高水準のセキュリティとプライバシーをユーザーに提供しています。デベロッパにも、Appの開発に活用できるパワフルなAPIが用意されています。 Face IDとTouch ID ロック解除、認証、および支払いを安全に行うこれらの機能により、ユーザーはスクリーンを一目見るか、指で触れるだけでAppにすばやくアクセスできます。システムの他の部分から独立したハードウェアベースのセキュリティプロセッサであるSecure Enclaveが、ユーザーのデータを暗号化して保護します。 Apple Pay Apple Payを使用すると、Face IDまたはTouch IDを使うか、Apple Watchをダブルクリックすることで、簡単かつ安全に支払いを行えます。ユーザーは、支払い、配送先、連絡先に関する情報を迅速に提示して決済を実
QUICスタックとTLSライブラリの関係とOpenSSLの状況
図1: TLS over TCP と QUIC のスタック構造の比較はじめにQUICはTLSv1.3に相当するセキュリティを標準装備すると説明されます。図1はよく参照されるスタック構成ですが、TLSがQUICスタックの内部に埋め込まれています。縦に積み上げられた “スタック” になっていません。TLSの埋め込みは何を意味しているのでしょうか?本稿の前半ではTLSとQUICの関係と、TLSライブラリの使われ方をTLS over TCPと比較しながら解説します。後半ではOpenSSLのQUIC対応の状況についてふれます。 なお本稿で処理の流れを追う際は送信を中心に取り上げます。受信についても逆順で同様の処理が必要ですが解説は省略しています。 QUICとTLSv1.3の関係TLSには大きく分けて、ハンドシェイクプロトコルとレコードプロトコルがあります。前者は暗号スイートの調停や鍵交換、各種パラメ
こんにちは、新型コロナウイルス感染症対策のためテレワーク勤務中の山田です。 テレワーク勤務に伴い通勤で運動をしなくなった分、定時後から日の入りまでちょくちょく近くの河川公園を歩いています。 ソーシャルディスタンスを保ちつつ、マスクを防備していますので息苦しいですが仕方ありません... 前置き さて、日本では新型コロナウイルスの話題が飛び交う毎日ですが、コロナの話題が出る1ヶ月ほど前主要ブラウザの「TLS1.0」と「TLS1.1」サポートが終了しようとしていたのは、ご存知でしょうか。 この業界に詳しい方であれば、既に対策済みの方がほどんどではないかと思いますが、新型コロナウイルスの世界的流行に伴い各主要ブラウザは、サポート終了時期が延期もしくは再有効化がなされています。 CentOS5系は、サポート終了しておりますOSになりますため、TLS1.2サポートの対策には6系以降のOSにリプレイスさ
[追記] 2021年10月時点の変更点について新しく記事を書きました asnokaze.hatenablog.com == もくじ HTTP/2の改定作業 修正点 優先度制御について TLS1.3および0-RTT GREASEのコードポイントの予約 疑似ヘッダの扱い h2cの削除 セマンティクス仕様への参照 そのた参照の更新 security considerations の追記 HTTP/2の改定作業 HTTP/2の仕様は2015年に「RFC7540 Hypertext Transfer Protocol Version 2 (HTTP/2)」として標準化されています。 RFCは公開されたあとに、エラッタが見つかることがあります。このようなエラッタを修正するために、新しくRFCを出し直すということが行われます。 HTTP/2においてもいくつかのエラッタが公開されています (参考リンク)。
IPAが暗号化通信技術の新ガイドラインを公表
画像:情報処理推進機構(IPA)より引用 情報処理推進機構(IPA)は2020年7月8日、ネットワーク暗号化通信技術であるTLSの暗号設定ガイドラインを更新し、2020年3月時点における安全性と相互接続性に適合させた「第三版 TLS暗号設定ガイドライン」にとりまとめ発表しました。TLSとは、ネットワーク上のデータ通信を、悪意のある第三者などに読み取られないようにするための暗号化技術です。暗号化通信技術と不正アクセスはいたちごっこの関係にあり、TLSはその前身でもあるSSL時代を含め、ダウングレード攻撃やロールバック攻撃、POODLE攻撃などの脅威に対して、新技術を導入し対処してきました。 今回のIPAによる改訂は、ウェブサービスが安全性を確保するために求められる、新たな暗号化通信技術の基準を定めたものです。ガイドラインは暗号技術評価プロジェクト「CRYPTREC」に基づき決定され、利便性と
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ
ストーリー by nagazou 2022年03月15日 16時10分 ますますロシア国外情報にアクセスしにくくなりそう 部門より ロシアが独自のTLS認証局を創設したとの報道が出ている。ロシアは現在、ウクライナ侵略を受けて世界各国からさまざまな制裁を受けているが、欧米の企業や政府による制裁措置により、既存のTLS証明書を更新することができない状況に陥っている。証明書の有効期限が切れてしまえば、ブラウザ側でサイトへのアクセスがブロックされてしまう。このため独自のTLS認証局を創設し、期限切れもしくは無効化された場合の代替となる証明書を無料で発行するとしている(Bleeping Computer、TECH+)。 ロシアの公共サービスポータルである「Gosuslugi」によれば、新たなサービスでは、5営業日以内に証明書を無料サイト所有者である法人に提供するとしている。ただし、こうした新しい認証
こんにちは、技術開発室の滝澤です。 前回(2021年7月)、『TLS証明書チェッカーcheck-tls-certの公開』というエントリーを公開しました。このcheck-tls-certを開発するにあたって、テスト用のPKI(Public Key Infrastructure、公開鍵基盤)を構築しました。 opensslコマンドを利用したPKI用のスクリプトを整備したのですが、開発当時ではOpenSSL 3.0の開発が進んでいることもあり、OpenSSL 3.0でも利用できるようにとドキュメントを読んでみると、「deprecated」(非推奨)の文字が散見されました。そのため、それを踏まえたスクリプトを書きました。この際に得られた知見を本記事で紹介します。 なお、2021年9月7日にOpenSSL 3.0.0がリリースされました。 本記事を1行でまとめると次のようになります。 OpenSSL
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブラウザから無料で簡単に証明書を発行できる ZeroSSL | DevelopersIO
TLS通信を狙った「アルパカ攻撃」が発見される 脆弱(ぜいじゃく)なサイトの割合は?
Google、Androidに「DNS over HTTP/3」対応を追加 ~実装はRust言語/既存の「DNS over TLS」よりも高いパフォーマンス
『プロフェッショナルSSL/TLS』の読み方(私論) - golden-luckyの日記
Apple、開発者やWeb管理者に対し、iOSやmacOSなどで2020年9月1日以降に発行されたTLS サーバ証明書の有効期間を最大825日から398日に変更すると公式に通知。
セキュリティ強化のため、はてなブログは「HTTPS配信」を推奨いたします - はてなブログ開発ブログ
CVE-2022-21449: Psychic Signatures in Java
え! QUIC無効化するの? HTTP over QUIC or TCPの接続選択を考える
Gmailで他のSMTPサーバー経由でメールの配信エラーになる問題 - Qiita
Googleが設計した次世代通信プロトコル「QUIC」とは?
「RFC7525: TLSを安全に使うための推奨事項」の改定 - ASnoKaze blog
bmf-tech.com - Goでオレオレ証明書がほしいときの一手
TLS 1.0/1.1サイトは完全にブロック ~「Google Chrome 98」安定版がリリース/軽量カラーベクターフォント「COLRv1」をサポート。脆弱性の修正は27件
Encrypted DNS + NTP = Deadlock
Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧
Status 425 HTTP/Tokyo
以前の TLS バージョンのサポート終了に伴う Chrome UI の変更点
The HTTP crash course nobody asked for
「HTTPSレコード」が技術標準のRFCに、高速通信を普及させる起爆剤となるか
HTTPと硬直化 (ossification) の問題 - ASnoKaze blog
OpenSSLコマンドでサーバの証明書情報を確認する4つの方法
中間証明書のないサーバにアクセスする - 詩と創作・思索のひろば
サーバー間通信の暗号化を Tailscale に丸投げする
セキュリティ - Apple Developer
CentOS5のApacheをTLS1.2に対応させてみた - DENET 技術ブログ
HTTP/2の仕様、改定作業が始まる - ASnoKaze blog
OpenSSL 3.0のTLS証明書用プライベート鍵生成方法
mc-web.jp
www.khb-tv.co.jp
diamond.jp
diamond.jp
diamond.jp
www.buntobi.com