コラム | BTC Cloud
はじめに こんにちは、クラウドCoEの熊谷です。 以前、お客様から以下のような相談を受けました。 「インターネットに公開しない社内システムをクラウドで構築する場合でもhttpsで接続できた方が良い?」 「もしhttps通信が必要なら、インターネットに公開しないプライベートなシステムだし、AWSで構築するからAWS Private CAを立ててプライベートなサーバ証明書を作らないといけないと思っている」 今回は、この2点についてお話したいと思います。 ※今回はオンプレミスでまだPrivate CAを立てたことがないお客様からの問い合わせでした 結論 社員しかアクセスしない社内システムであっても、httpsで接続することが望ましいです プライベート証明書の方がセキュアですが、コスト観点でパブリック証明書を利用するという選択も出来ます 質問1. 社内システムも、転送データを暗号化した方が良い?
AWS ALB+ACMの意外な落とし穴 | 外道父の匠
全然たいした話ではないのですが、へーって思ったので記録しておきます。 ALB にて外部からの不正アクセスを塞いだ話になります。 はじめに注意 ※追記3 この記事は、知識不足な状態で始まり、知識不足なまま初出した未熟な内容であり、外部の助力によりそれが解決に向かう、という流れになっています。 調査環境がAWSだったために、タイトルがこうなっていますが、実際はALB+ACM単独の問題ではなく、SSL/TLS としての仕様の話になっている、 ということを念頭において、読んでいただければと思います。 ※追記3ここまで 構成と問題点 手動で作成された ALB → EC2 環境があって、ワイルドカードなACM を使って 0.0.0.0:443 のみ開いており、EC2 は Global からのアクセスは遮断してありました。 にも関わらず、不正系なHostヘッダでアクセスされた形跡があり、コイツどこから来
イラストで正しく理解するTLS 1.3の暗号技術
イラストで正しく理解するTLS 1.3の暗号技術 初めに ここではTLS 1.3(以下TLSと略記)で使われている暗号技術を解説します。 主眼はTLSのプロトコルではなく、「暗号技術」の用語の挙動(何を入力して何を出力するのか)と目的の理解です。 実際にどのような方式なのかといった、より詳しい説明は拙著『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』(暗認本)や『暗認本』の内容を紹介したスライドや動画などの資料集をごらんください。 なお表題の「イラストで」は数式を使わないという程度の意味です。 TLSで守りたいもの TLSはコンピュータ同士が安全に通信するための規格です。 主に人がブラウザを介して「https://」で始まるWebサイトにアクセスするときに利用されます。 安全に通信するためには、通信内容が盗聴されても情報が漏れない機密性が必要です。 それから通信が改
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) | DevelopersIO
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) SSL/TLS証明書(以下証明書)には証明書の監視や監査を行って証明書の信頼性を高める「Certificate Transparency(証明書の透明性;以下CT)」という仕組みがあります。 Certificate Transparency : Certificate Transparency CAが証明書を発行する際には、パブリックなCTログサーバーに発行履歴を登録し、ログサーバーから受け取った署名付きのタイムスタンプ(SCT;Signed Certificate Timestamp)を埋め込んだ証明書を発行します(埋め込まない方法も有り)。 ブラウザは証明書に埋め込まれたSCTを確認し、存在しなければ証明書を不正とみなします(ブラウザによ
Running SSL on localhost
Before I get started with the how, I assume some of you may be asking, "Why do I care about running SSL on my localhost?" Well, there are some specific situations that you may care. Here are just a few: You are enforcing SSL in production and want to ensure that you can test for errors that may pop up in production when working locally. For example, errors related to non-secure resources being loa
Let's Encrypt (certbot) を使ってワイルドカード証明書する!(あとちょっと) - Qiita
はじめに 最近技術書を書いて、沢山の方に読んで頂いていて大変感謝しております。 イラスト図解でよくわかる ITインフラの基礎知識 その書籍の中でも、無料で手軽に使える証明書として紹介したLet's Encrypt (certbot) ですが、唯一ワイルドカード証明書が発行できないという欠点がありました。 しかしながら以前から予告されていたように、先日やっとワイルドカードに対応したというアナウンス Let's Encrypt ACMEv2 implementation now supports wildcard certs. https://t.co/jPk8DZBr4X — Jerry Gamblin (@JGamblin) March 2, 2018 が出ましたので、早速ワイルドカード証明書を取得してみました。 ところがフツーにやろうとするとエラーになになってしまいます。 [root@l
『OpenSSLクックブック』提供開始のお知らせ
ご来店ありがとうございます。 本日より、『プロフェッショナルSSL/TLS』(2017年3月発行)からスピンオフしたミニブック『OpenSSLクックブック』の提供を開始しました。購入ページからカートに追加していただくことで、どなたでも無償でダウンロードが可能です(クレジットカード情報は不要ですが、直販サイトの購入フローを経由する関係で、お名前の欄と住所の欄への入力はお願いいたします)。 同書は『プロフェッショナルSSL/TLS』の原書である‟Bulletproof SSL and TLS”からOpenSSLに関する章を抜き出して再編された‟OpenSSL Cookbook”の翻訳に相当し、『プロフェッショナルSSL/TLS』の「第11章 OpenSSL」と「第12章 OpenSSLによるテスト」加え、SSL Labsで公開されている ‟SSL/TLS Deployment Best Pra
SSL/TLSについてまとめ2018 - Qiita
はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当によくできると思いました。フレームワークの意味について考えさられます。 HTTPSの通信 HTTPSの通信はTCP/IPプロトコルスイートとして、TCPの上層にSSL/TLSがあり、アプリケーションプロトコルのHTTPプロトコルが載って通信をしています。 コネクションとセッションは通信の概念として別になります。TCPでクライアントからWebサーバに対してコネクション(経路)が確立され、その上でセッシ
制限と仕様からLet's Encrypt(ACMEv1)の話 - Qiita
現行のACMEv1を使ったLet's Encryptのお話。 (https://letsencrypt.org) V1は終わりましたが、V2でも概ね同じです。一応V2はひとつ制限が追加されてます、追記の3を参照。 個人が手持ちのドメインで利用するにはあまり気にすることもないですが、何度も証明書を発行しようとすると制限に引っかかってくることがあります。 https://letsencrypt.org/docs/rate-limits/ 先日Encryptを少し多めにLet'sした機会があったので、その時に色々気を使ったことをまとめておきます。 Let's Encryptにかかる制限(rate-limits) といっても、(ドメインの所有さえ確認できれば)ACMEの仕様としてかかる制限はありません。 ほとんどはACMEのプロバイダによる、証明書の発行やそれにまつわるリクエストへの量的な制限とな
Best tools for launching your website - DeployStack
clear Warning: Prices and features of each service are no longer up to date (learn more) DeployStack Tired of comparing hosting plans, calculating the file storage cost or paying for the SSL certificates? DeployStack is a list of the best, hand picked tools and services that you might need when launching a website.
AWSにおけるSSL証明書の基本的な取扱い | 外道父の匠
多くの企業が、今年中にWebサービスの暗号化を進めなくてはいけなくなったかと思います。 Webに接続するiOSアプリは2017年1月からHTTPSの使用が絶対条件になる、デベロッパーはご注意を | TechCrunch Japan ということで、基本的な内容ではありますが、AWSにおけるSSL証明書の扱いについて復習してみます。 AWSで扱う証明書の種類 ここでいう種類とは、EV SSL だの ワイルドカードだの、証明書の製品としての種類ではありません。 1つは AWS Certificate Manager(以下、ACM)の無償証明書、もう1つは従来のSSLサーバ証明書販売サイトで購入する有償証明書、の2種類となります。 それぞれの証明書を、AWSのリソースにどのように登録し、運用していくかについてまとめていきます。 ACMの証明書を利用する 2016年1月にリリースされ、5月にはTok
let's encrypt で複数ホスト名対応な証明書を作る - 日記
let’s encrypt で複数ホスト名対応な証明書を作る タイトル通りですが、割と簡単に複数のホスト名に対応した証明書が取得できるので、やってみました。 今回は ansible playbook のおまけ付きです。 let’s encrypt の困った問題 let’s encrypt ではワイルドカード証明書が無いので、複数のホスト名を1台のサーバでホスティングできないため、ちょっと困っていました。 ググって調べてみたら、let’s encrypt は SAN 対応の証明書だったら発行できる、と言うことだったので実際にやってみました。 その前に、SAN って何よ? ワイルドカード証明書だと良く聞くと思うのですが、 SAN って何よ?と思う人も多いと思います。 SAN とは Subject Alternative Name の略称で、サブジェクトの別名です。 ん?サブジェクトってなに?
Heroku で SSL(https)を導入する方法(2016年7月 最新版!) - sakagami memo
2016 - 07 - 10 Heroku で SSL(https)を導入する方法(2016年7月 最新版!) heroku ウェブサービス list Tweet 2016年5月下旬に、「Heroku SSL 」機能がベータ版で公開されました。 https://blog.heroku.com/archives/2016/5/18/announcing_heroku_free_ssl_beta_and_flexible_dyno_hours 今までは $20 の SSL アドオンを用いて SSL を導入する方法を 提供していたのですが、Hobby、Professional Dyno を用いている 環境において、これからはそれが無料で実現できるようになるとのこと。 SSL を導入することで、セキュリティ向上につながることに加え、 Google が HTTPS をランキング シグナルに使
Let's EncryptのDNS-01を使用して無料のSSL証明書をWebサーバなしで取得する -- ぺけみさお
サマリDNSによる認証(DNS-01)でドメインを認証し、Let’s EncryptからSSL証明書を取得することができたので、メモとしてまとめます。クライアントはサードパーティ製のletsencrypt.shを使用します。DNSで認証するには、ドメインに認証専用のサブドメインを追加し、サブドメインに対してTXTレコードを設定できる必要があります。HTTPによる認証ではないため、Webサーバは必要ありません。このためHTTPによる認証と比較してとても簡単に証明書を取得できます。HTTPによる認証と手間なところ無料でDVのSSL証明書を取得できるLet’s Encryptが話題です。 Let’s Encryptで証明書の取得を行う場合、HTTPを使用してドメインを認証を方法(HTTP-01)が紹介されることが多いようです。 この方法でドメインを認証する仕組みは、ざっくり説明すると以下のとおり
[AWS]フォーム付き静的コンテンツを独自SSL/独自ドメインで公開するまで③-CloudFront編 - Qiita
お問い合わせフォーム付きWeサイトを S3で Slack通知ありで 独自ドメインで(お名前.comよりCNAMEを利用) 独自SSLで(https/SNIベース) 公開するまでの備忘録 どこにでもやり方やリンクは転がってますが個人的にまとめます。 前回まででサイトは出来上がったので、 今回は独自ドメインからアクセスできるように CloudFrontを使って通信をHTTPSにしましょう。 ちなみに前提として すでにお名前.comでドメインを持っているとして そのサブドメインを扱うとします(ニッチ) 流れは、 SSLをアップロードしたIAMを作成 CloudFrontに配信を行うS3のエンドポイントとSSLを持ったIAMを設定 お名前.comよりCNAMEで設定するドメインからCloudFrontにリダイレクトするようにCNAMEを設定 各リンクは以下 [AWS]フォーム付き静的コンテンツを独
![[AWS]フォーム付き静的コンテンツを独自SSL/独自ドメインで公開するまで③-CloudFront編 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/271840649e350a1f735a312fe2f1c5eb9e864b14/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwdHV0aWRhJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz1lZjM5YzQ1ZTg4N2E4ZWExYjhjNjFkZjI3ODUzMzMyNA%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D540fd080dcabf6381e32d114ff077480)
TLS1.3とは何か?
Dataplexとdbt-osmosisを活用した「がんばらない」データカタログとメタデータ管理の運用(Data Engineering Study #22)
Update: Using Free Let’s Encrypt SSL/TLS Certificates with NGINX - NGINX
Analytics cookies are off for visitors from the UK or EEA unless they click Accept or submit a form on nginx.com. They’re on by default for everybody else. Follow the instructions here to deactivate analytics cookies. This deactivation will work even if you later click Accept or submit a form. Check this box so we and our advertising and social media partners can use cookies on nginx.com to better
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
運用の観点から見たTLSプロトコルの動き
通信の安全を守るためにエンジニアができること
20160423qpstudy_ACMの話