HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。
Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。"
HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。
第1回 HTTPS(HTTP over SSL/TLS)とは
本入門連載では、システム管理者やシステムエンジニアの方々を主な対象として、IT業界でよく使われる技術や概念、サービスなどの解説をコンパクトにまとめておく。 昨今はWebサイトを「HTTPS」対応させることが進んでいる。そこでHTTPSとは何か、HTTPプロトコルとはどう違うのか、HTTPS対応するとはどういうことかなどについてまとめておく。今回はHTTPSの概要について見ていく。 HTTPSとは何か? Webサーバで利用されるプロトコルとはHTTPだが(連載「超入門HTTPプロトコル」参照、それを「SSL/TLS」という暗号化通信機能と共に利用できるようにしたのが「HTTPS(HTTP over SSL/TLS)」である。サイトへのログイン情報やユーザーのプライバシーに関する情報など、重要で漏えいしては困るような情報を保護したい時にHTTPS化が使われる。
JVNTA#96603741: HTTPS 通信監視機器によるセキュリティ強度低下の問題
多くの組織で、マルウェア検知などの目的のために HTTPS 通信の監視を行うネットワーク機器が導入されています。 CERT/CC は 2015年3月のブログ記事 The Risks of SSL Inspection において、HTTPS 通信監視機器の導入によるセキュリティ上のトレードオフについて論じています。 HTTPS 通信監視機器を導入する場合、その製品が Transport Layer Security (TLS) の証明書検証を適切に行っていることを確認してください。TLS による適切な保護がなされない状態で通信が行われたり、検証失敗を示すエラーメッセージをクライアントアプリケーションに伝えなかったりする製品は、HTTPS で保護されるべき通信のセキュリティ強度を低下させます。 TLS やその前身である Secure Sockets Layer (SSL) は、クライアントとサ
不正なSSL証明書を見破るPublic Key Pinningを試す - ぼちぼち日記
先日のエントリー 「TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説)」で予告した通り、今回不正なSSL証明書を見破る Public Key Pinningの機能について解説します。 Public Key Pinning は2種類の方法があります。あらかじめブラウザーのソースコードに公開鍵情報を埋め込む Pre-loaded public key pinning と、サーバからHTTPヘッダでブラウザに公開鍵情報を通知するHTTP-based public key pinning (HPKP)の2つです。 Chromeは既に両者の機能を実装済ですが、ちょうど近日リリースされる Firefox 32 の Stable バージョンから Pre-loaded public key pinning が実装されました。Firefox32リリース記念と
Let's Encrypt Root to be Trusted by Mozilla - Let's Encrypt
The Let’s Encrypt root key (ISRG Root X1) will be trusted by default in Firefox 50, which is scheduled to ship in Q4 2016. Acceptance into the Mozilla root program is a major milestone as we aim to rely on our own root for trust and have greater independence as a certificate authority (CA). Public CAs need their certificates to be trusted by browsers and devices. CAs that want to issue independent
ソリューション
F5のサイト サポート ポータル F5製品およびサービスに関するセルフサービス ヘルプの記事 DevCentral 弊社主催のコミュニティでつながり、学ぶ My F5 サブスクリプションおよび登録キーの管理 Partner Central F5パートナーのためのリソースおよびサポート ポータル LearnF5 Learn to use F5 products F5へのお問い合わせ F5販売担当部へのお問い合わせ 詳しくは、F5の営業担当社にお問い合わせください F5サポートへのお問い合わせ お近くのサポート担当者にお問い合わせください プロフェッショナルサービスへのお問い合わせ F5ソリューションを最適化するためのサポートを受ける 無料トライアル 複数の環境にわたりアプリケーションの安全性、速度、信頼性を確保するこれらの製品を、無料でお試しください。 F5 Distributed Clou
無償SSLサーバー証明書Let’s Encryptの普及とHTTP/2および常時SSL化 | OSDN Magazine
Webサイトの暗号化(SSL化、HTTPS対応)はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2&SSL化の実装例も紹介していく。 これまで証明書の無償入手は限定的 HTTPSのWebサイトを運用するには通常、商用の認証局にSSLサーバー証明書の発行を申し込み、必ず費用が発生するものだった。一部限定した目的では無償で利用でき
letsencrypt-auto が certbot-auto になった - @znz blog
EFF の Let’s Encrypt クライアントが Certbot になったという話です。 経緯 Let’s Encrypt の使い方 から引用しつつまとめます。 2016年4月12日 に、Let’s Encrypt の公開ベータプログラム(Public Beta Program)が終了し、正式サービスが開始されました。 この時点でベータがとれたのは Let’s Encrypt のサービス側で letsencrypt-auto コマンドを含む github.com/letsencrypt/letsencrypt にあったクライアントはまだベータのままでした。 クライアントの 0.6.0 のリリースにあたり github.com/letsencrypt/letsencrypt は github.com/certbot/certbot に移動して Certbot に改名されました。 Ann
Leaving Beta, New Sponsors - Let's Encrypt
Let’s Encrypt is leaving beta today. We’re also excited to announce that founding sponsors Cisco and Akamai have renewed their Platinum sponsorships with 3-year commitments, Gemalto is joining as our newest Gold sponsor, and HP Enterprise, Fastly, Duda and ReliableSite.net are our newest Silver sponsors. Since our beta began in September 2015 we’ve issued more than 1.7 million certificates for mor
jessie に backports から letsencrypt を入れてみた - @znz blog
現在リリースされている Ubuntu と違って Debian jessie には backports に letsencrypt パッケージがあるので、ちょっと古いですがパッケージ版の letsencrypt を使ってみることにしました。 Ubuntu も今月リリースされる 16.04 (xenial) には universe ですが letsencrypt パッケージが含まれるので、それが使えると思います。 対象バージョン Debian GNU/Linux 8.4 (jessie) (amd64) letsencrypt 0.4.1-1~bpo8+1 apache2 2.4.10-10+deb8u4 インストール /etc/apt/sources.list で deb http://ftp.jp.debian.org/debian jessie-backports main contri
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
「DROWN攻撃」の脆弱性が発覚、HTTPSサイトの33%に影響
攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。 インターネットの通信暗号化に使われるSSL/TLSプロトコルを使って通信を暗号化しているHTTPSサイトなどに深刻な脆弱性が発見された。研究チームはこの脆弱性を「DROWN」と命名し、3月1日に詳しい情報を公開。全HTTPSサイトの33%が影響を受けるとして、管理者に対応を急ぐよう呼び掛けている。 研究チームが専用サイトを通じて公開した情報によると、DROWN攻撃の脆弱性は、多くのサーバがTLSに移行しながら、設定ミスが原因で依然としてTLSの前身であるSSLv2もサポートしていることに起因する。 これまでは、SSLv2をサポートしているだけではセキュリティ問題が生じるとは考えられていなかったが、調査の結果、簡単に攻撃できてしまうことが判明し、サーバやクライアントが危険にさ
AWS News Blog
Build RAG applications with MongoDB Atlas, now available in Knowledge Bases for Amazon Bedrock Foundational models (FMs) are trained on large volumes of data and use billions of parameters. However, in order to answer customers’ questions related to domain-specific private data, they need to reference an authoritative knowledge base outside of the model’s training data sources. This is commonly ac
Webサイト運営者も注意を:日本ユーザー対象の不正広告攻撃にLet's Encryptが悪用される - @ IT
全てのWebをセキュアにする目的で活動するLet's Encryptの証明書が悪用された。主に日本のユーザーを対象とした攻撃に利用されたことが分かっているという。 米トレンドマイクロは1月6日(米国時間)、「Let's Encrypt」の証明書が不正広告攻撃に悪用されたことを確認したと発表した。 この攻撃の主な対象は日本のユーザーで、不正広告で「Angler Exploit Kit」をホスティングするWebサイトに誘導し、トロイの木馬であるネットバンキングアプリをダウンロードさせるというものだ。トレンドマイクロが2015年12月21日に検知した不正広告サーバには、ピーク時(12月25日)で50万件近いアクセスがあったという。同社はLet's Encryptにこの件を報告済みだ。 攻撃者は適正なドメインの下に「domain shadowing」と呼ばれる手法で攻撃者が制御するサブドメインを作
すべてのWebサイトの暗号化を目指すLet’s Encryptを試す | さくらのナレッジ
インターネットの爆発的な広がりに合わせてセキュリティ上の問題に注目が集まるようになっています。2010年頃にはFiresheepが広まり、公衆無線LANなどにつないだPCの通信を簡単にモニタリングできてしまう行為が問題になりました。また、昨今のプライバシーに対する懸念から、多くのサイトではHTTPSをデフォルトにするようになっています。 そんな流れもあって現在開発が進められているのがLet's Encryptです。誰でも無料で使えるSSL/TLS証明書発行サービスとなっています。先日、ついにパブリックβになり、誰でもすぐに使えるようになりました。そこで今回はLet's Encryptを使ったサイトのSSL/TLS化手順について紹介します。 なお、執筆時点ではApacheについてはプラグインが提供されていますが、nginx向けは開発中とのことです。ただし手作業で行う分にはnginxでも利用で
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLSとは何なんだ? 今こそ知ってもらいたいSSL/TLSのお話 〜 1回目 〜 SSL/TLSとは | さくらのナレッジ
Ivan Ristić: Configuring Apache, Nginx, and OpenSSL for Forward Secrecy
Microsoft EdgeとIE 11、SHA-1証明書を用いたウェブサイトで2017年2月14日より警告を表示 2017年1月提供予定のChrome 56やFirefox 51でも同様に
konure.com
