自堕落な技術者の日記 : Mozilla FirefoxのCRLiteで遊ぶ (moz_crlite_queryの話) - livedoor Blog(ブログ)
OCSPによる失効検証は、先日のApple macOS Big Burrのソフトウェアコード署名の大量の検証で、OCSPレスポンダ高負荷による失効検証の障害が出たのではと推測されるように、通信障害、サーバー障害などでOCSP応答が取れないなどのことがあって、最近非常に評判が悪いです。そのため、ウェブブラウザの世界では、Chromeでは CRLSet、Firefox ではCRLiteという別の失効検証方法を使おうとしているそうです。ChromeのCRLSetについては2013年2月に、CRLSetで本当に大丈夫なんだろうかと思い「将来Google ChromeがSSL証明書のオンライン失効検証をやめて独自の失効情報プッシュを行うという困った話」というブログエントリを書かせていただきました。(が、その後、Chrome CRLSetがどうなっているのかよくわかっていません。) で、Firefox
自堕落な技術者の日記 : 最近の証明書の話題(3): デジタル証明書形式の電子委任状のプロファイルに関する考察 - livedoor Blog(ブログ)
お詫び:この記事は3月に書き始め、5月に大方できていたのですが、なんかボリューム満点な割に、落とし所がなくなってしまい、辛くなって放置していました。これが終わらないせいで、他の記事も何となく書くのが億劫になっていました。やっと8月末の今日、少し書き足して生煮え記事として供養させてくださいm(_ _)m。ただここで言いたいのは (電子証明書方式の)電子委任状は、お役所への申請だけでなく、企業間の電子契約でも、前より格段に使いやすい証明書なので「ちゃんと普及してください!!!」 ってことだけです。 今日は正確には証明書ハンターネタとは言えないんですが、今後おもしろそうな、「電子委任状」という証明書が出てきそうってことで紹介したいと思います。ちょっと長いです。ご容赦ください。 もくじ 1. 電子委任状とは 2. 証明書の識別名の構造(おさらい) 3. デジタル証明書形式の電子委任状のサンプル発行
自堕落な技術者の日記 : HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える - livedoor Blog(ブログ)
もくじ 1. はじめに 2. HPKPが生まれた背景 3. HPKPの仕組み 4. ピンの設定の考察 4.1. ピンの値の取得方法 4.2. 証明書チェーンに一致するピンの選択 4.3. 証明書更新とHPKPヘッダの設定変更の運用方法 4.4. バックアップピンという名前のイケてなさ 4.5. CA鍵のバックアップピンのオススメの値 4.6. 証明書チェーン中で複数ピンをつけても意味はない 4.7. 同じCA証明書にPinし続ける場合の課題 4.8. 2つのCA証明書にPinする場合の課題 4.9. max-ageのオススメ値を考える 5. HPKPはどの程度使われているのか 6. 今のHPKPの何がいけなかったのか 7. おわりに 8. (参考) HPKP関連の勉強になるリンク 9. 追記 9.1. 追記(2017.02.26) HPKPのブラウザサポート状況 9.2. 追記(2017.
自堕落な技術者の日記 : Amazon AWSの認証局が少し怪しい件 - livedoor Blog(ブログ)
Amazon AWSのELBとCloudFrontで使えるらしい、無料の証明書発行サービスで、AWS Certificate Manager(ACM)というのがあるそうです。([参考1])。ちょっと気になったきっかけはJavaからHTTPSで繋ぐと検証失敗するケースがあった はてブを垂れ流すだけのフレンズ@matsuuん?これJRE同梱のルート証明書にACMのルート証明書が含まれてなかったってことか。どのバージョンから対応してるんだろ。決済連携などで決済会社の環境が古くてACMが使えないパターンありそう。 / “JavaクライアントからAWS…” https://t.co/pf9J6QRSTD 2017/04/30 11:57:07 というので、ちょっと見始めたらドツボにはまったので、少しメモを書き残しておこうかとおもいます。 ACMの証明書を使ったサイトにブラウザで繋いでみると、、、 J
自堕落な技術者の日記 : 様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新3) - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
