フィッシング対策の業界団体であるフィッシング対策協議会は2017年1月、TLS/SSLを使っているWebサイトにアクセスすると、正規のサイトであっても「信頼できないサイトです」といった警告が表示される場合があるとして注意を呼びかけた。「SHA-1」と呼ばれる暗号技術を使っているサーバー証明書が「安全ではないサイトの証明書」と見なされるようになったためだ。 安全でないサイトと見なされると、Webブラウザーによっては警告の表示どころか、アクセスの続行すらできない。国内にもそんなWebサイトが数%残っているのだ。 「SHA-1」は安全ではない SHA-1とは、任意のデータを固定長のデータに変換する暗号学的ハッシュ関数の一種。サーバー証明書の署名(デジタル署名)を作成する際などに使われている。米国家安全保障局(NSA)が設計し、米国立標準技術研究所(NIST)によって1995年に「FIPS PUB
In our previous blog post about phasing out certificates with SHA-1 based signature algorithms, we said that we planned to take a few actions with regard to SHA-1 certificates: Add a security warning to the Web Console to remind developers that they should not be using a SHA-1 based certificates Show the “Untrusted Connection” error whenever a SHA-1 certificate issued after January 1, 2016, is enc
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 先週のInternet Week 2014でHTTPSサーバー設定の話をさせて頂きました。お越し頂いた方、ありがとうございました。マニアックな内容だったのですが、何か参考になる所があれば嬉しいです。 さて、今日はパネルネタで仕込んでおいたのに陽の目を見なかった話をちょっとブログで書こうと思います。SSL/TLS関連で統計データみたいなものを出しているサイトが幾つかあって、そこから世の中の傾向がわかったり、それを元に自分のサーバーはどう設定するかなぁ、などと考えるのに役に立つのではと思い紹介したいと思います。 SSL Pulse まず最初に紹介したいのがSSL Pulseというサイトです。 出典:SSL Pulse https://www.tr
不正な証明書はMicrosoftのルート証明書プログラムで認定され、Internet Explorer(IE)やChromeなどWindows向けプログラムの大多数で信頼できる証明書として扱われていたという。 米Googleは7月8日、Googleドメイン用の不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させる措置を取ったと発表した。 同社のブログによると、不正な証明書はインドの当局が承認するNational Informatics Centre(NIC)傘下の中間認証局から発行されていた。Microsoftのルート証明書プログラムで認定され、Internet Explorer(IE)やChromeなどWindows向けプログラムの大多数で信頼できる証明書として扱われていたという。 一方、Firefoxが使っている独自のルート証明では問題の証明書を認定していないため、
平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 現在、弊社SSLサーバ証明書およびコードサイニング証明書をご利用のお客様にお知らせいたします。 2013年11月12日、Microsoft社より、SHA-1ハッシュ関数の危殆化を背景に、SHA-1廃止ポリシーの発表がありました。 これにより、SHA-1ハッシュ関数の弊社SSLサーバ証明書およびコードサイニング証明書が、2016年から発行が不可になります。またSSLサーバ証明書は2017年1月から、コードサイニング証明書は2016年1月からご利用不可となります。 お客様にはご迷惑をおかけしますが、このページにおいて今後随時SHA-2電子証明書への移行に関する情報を更新してまいります。 現在ご利用中のSHA-1証明書は継続利用が可能です。また、SHA-1証明書を新たに発行することも可能です。SHA-1証明書からSHA-2証明書
Last week, Mozilla was notified that an intermediate certificate, which chains up to a root included in Mozilla’s root store, was loaded into a man-in-the-middle (MITM) traffic management device. It was then used, during the process of inspecting traffic, to generate certificates for domains the device owner does not legitimately own or control. While this is not a Firefox-specific issue, to prote
「google.com」「.google.co.jp」などのドメイン用の不正証明書が発行されていたことが分かり、Google、Microsoft、Mozillaが対応を表明した。 米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。 Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。 電子証明書は、ユーザーがアクセスしているWebサイトが本物であることを確認するために使われる。不正な証明書を利用すれば、偽サイトであってもWebブラウザの警告が表示されず、ユーザーがだまされて個人情報などを入力してし
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
Update: For clarification, the last sentence of this post references our actions to suspend inclusion of a TURKTRUST root certificate. There are currently two TURKTRUST root certificates included in Mozilla’s CA Certificate program. TURKTRUST had requested that a newer root certificate be included, and their request had been approved and was in Firefox 18 beta. However, due to the mis-issued inte
Security Advisory Microsoft Security Advisory 2798897 Fraudulent Digital Certificates Could Allow Spoofing Published: January 03, 2013 | Updated: January 14, 2013 Version: 1.1 General Information Executive Summary Microsoft is aware of active attacks using one fraudulent digital certificate issued by TURKTRUST Inc., which is a CA present in the Trusted Root Certification Authorities Store. This fr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く