タグ

SSLに関するbongkuraのブックマーク (13)

  • 我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita

    HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki

    我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
  • OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家

    OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか

    OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
  • httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita

    課題 サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は?と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSSLの設定 nginxのHTTPS サーバの設定を参考に、たった2行だけどSSLを考えてみる。書き方は違えどもapacheも概念は一緒のはず。

    httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
  • AndroidアプリケーションのSSL通信をプロキシで解析する(1)

    0x00. はじめに Androidアプリケーションの解析の際に、それがどのようなSSL通信を行っているかが重要となる場面がある。そのようなとき、Doormanのようなローカルプロキシでその通信をフックすることができれば目的が達成できる。 しかし通常の(PC上の)ウェブブラウザのSSL通信と同じように、Androidにも元々「信頼できるもの」として扱われるルート証明書群がインストールされており、これらの証明書を元にSSL通信が実施されてしまう。ただ単にローカルプロキシでSSL通信をフックしようとしても、当然「偽物の証明書である」としてエラーとなってしまうため、プロキシでのフックを実施するためには少し工夫が必要となる。いくつかの方法が考えられるが、このエントリではまず筆者が一番はじめに試した方法を紹介する。 0x01. 対象 まず、今回はURLConnectionクラスを使ったSSLのアクセ

  • 高木浩光@自宅の日記 - 祝!! docomoの「FirstPass」終了のお知らせ, 追記

    ■ 祝!! docomoの「FirstPass」終了のお知らせ docomoから「FirstPass」を終了するとの知らせが出た。これは歓迎されるべきことである。 報道発表資料:「FirstPass」(ファーストパス)のサービス終了, NTTドコモ, 2010年6月30日 「FirstPass」の何が悪いかについては、2003年に何度か日記に書いた。 通信キャリアの独占型PKIは安全なのか, 2003年6月24日の日記 セキュリティ研究者はプライバシーを理解しているのか, 2003年8月24日の日記 当時はまだブログを始めたばかりで遠慮がちに書いていたので、今読んでみると、読者層によってはわかりにくいものになっている。「FirstPass」の何が悪いのか、以下に改めて端的に書いておく。 「FirstPass」は、SSL(TLS)のクライアント認証を携帯電話に初めて導入したものであったが、こ

  • Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan

    Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ

    Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
    bongkura
    bongkura 2009/10/28
    やっときたー
  • SSLサーバ証明書の携帯対応 - SSLオフ.com

    ベリサイン・ジオトラストSSLサーバ証明書 携帯対応は、同じ携帯電話会社の端末でも機種により異なります。 原則、各SSLサーバ証明書で利用されているルート証明書が、携帯端末のブラウザにインストールされていることが必要です。携帯端末の仕様は、各携帯電話会社にお問い合わせください。 名称 対応機種 下記の携帯・PHS会社のSSL対応機種 NTT DoCoMo au Softbank WILLCOM イー・モバイル セキュア・サーバIDは、2,048bitの暗号強度に対応していない一部の携帯端末でSSL通信ができません。(セキュア・サーバIDの中間証明書は、2,048bitの仕様です。) NTT DoCoMo 2004年10月以降に発売開始された機種で以下を除く機種 D253i、Lechiffon、Music PORTER、N506iS、N506iSII N703iμ、N900iG、N

  • SSLでName Based Virtual Host:ワイルドカード証明書が簡単でつ

    普通のhttpなサイトであれば、名前ベースのバーチャルホストを利用することで、1つのIPでいくつものサイトを運営することが可能です。 ところがhttpsなサイトではこれができず、その仕組み上どうしても1 IPにつき1サイトしか作れないという制限がありました。 理由は簡単で、webサーバとクライアントが通信を開始する際、まず最初にクライアントに対しサーバ証明書を送る必要があるから。 名前ベースのバーチャルホストだと、接続時にどのサイトの証明書をクライアントに送りつければいいか分からず、仕組み的に名前ベースのバーチャルホストを実現することができません。 このような理由で、これまでSSLサイトの運営には必ずそのサイト分のIPアドレスが必要でした。 旧式の悪あがき 1IPにつき1サイト。当然いくつもグローバルアドレスを取得するのはお金がかかりすぎるので、いかにしてこの1IPに多重化するかに時

  • SSL証明書に価格破壊の波,“サーバー数無制限”武器に米大手が日本上陸

    写真●左からジェイサートの石原章年社長,米Go Daddy GroupのWarren Adelman社長兼CEO,同Business DevelopmentのYong Leeディレクタ 北米でドメイン名登録の価格破壊を巻き起こした立役者が,SSL証明書を先兵に日市場に参入する。ジェイサートは2008年12月10日,米Go Daddy Groupと日市場における協業で合意したと発表。2009年春をめどに,Go Daddy傘下のStarfield Technologiesが発行するSSL証明書を「額面で国内最安,サーバー数無制限で実質的には激安」(石原章年社長)の価格で提供するとぶち上げた。 国内でのラインナップは,Go Daddyが販売するStarfieldブランドのSSL証明書に準じる。国内でのサービス名は未定。ドメイン認証のみの「Standard」,企業や団体など組織の実在性を認証す

    SSL証明書に価格破壊の波,“サーバー数無制限”武器に米大手が日本上陸
    bongkura
    bongkura 2008/12/28
    [ssl証明書
  • Bridge Word

    This shop will be powered by Are you the store owner? Log in here

  • gnoMintを使って独自の認証機関を設定する | OSDN Magazine

    gnoMintは、独自の認証機関(CA)を簡単に管理できるデスクトップ・アプリケーションだ。多くのセキュア通信テクノロジは、接続先の団体やサービスが成りすましではないことを確認するためにデジタル証明書を使用する。ほとんどの人にとってデジタル証明書を目にするのは、HTTPS Webサイトを開いて、正しいWebサーバに接続したことを検証するために証明書が提示されたときである。 このような証明書を信頼できるのは、信頼されたCAによって署名されているからだ。CAの署名付きの証明書を入手するプロセスはいろいろあるが、一般にCertificate Signing Request(CSR:署名要求)を生成してCAに送信し、CAがこの要求が偽造ではないこと、そして送信者が申し立てどおりの人であることを検証する。送信者の人確認のためにCAで実行される検証のレベルはさまざまだ。認証で問題がなければ、CAに

    gnoMintを使って独自の認証機関を設定する | OSDN Magazine
    bongkura
    bongkura 2008/10/04
    [gnomint
  • サイバートラスト 認証・セキュリティ サービスサイト|サイバートラスト

    サイバートラストの企業ウェブサイトは移転しました. サイバートラストの企業ウェブサイトは新サイト https://www.cybertrust.co.jp へ移転しました。 製品情報やお知らせなどは新サイトよりご参照いただけますようお願いいたします。 サイバートラスト 企業サイト

    bongkura
    bongkura 2008/09/02
    hayai
  • SSL用証明書の作成(Linux編)

    Window用にSSL用証明書の作成方法を見直しましたので、Linuxでも同様に見直しました。ここで、作成した証明書は、ApacheやPostfix、Courier-IMAP等のメールシステム、ProFTPD等で使用できますが、具体的な使用方法はそれぞれのコンテンツを参照してください。なお、クライアントへのインストール方法は、こちらのコンテンツを参照してください。 なお、RedHat系の場合は、openssl-perlがインストールされていないとスクリプトが使用できないので、予め確認して必要ならインストールしてください。SuSEは、opensslがインストールされていればスクリプトもあわせてインストールされています。 SuSE9.3やCentOS4.xの場合、スクリプトが /usr/share/ssl/misc/CA.pl というようにPATHが通っていないところにインストールされます。

  • 1