社内サービスを一括・即座・セキュアにリモートワーク開放した話 - エムスリーテックブログ
はじめまして。 エムスリーエンジニアリンググループSREチームの山本です。 先日来のリモートワーク促進の中、弊社でも多くの社員がオフィス外から接続するようになりました。 もちろん、VPNを利用すれば社内のサービスも利用できますが、VPNの使用量が一気に増えるとそちらの制限にかかります。 今回「VPNを可能な限り利用せず、なおかつセキュアに社内のサービスを利用してもらう」という課題に取り組みましたので、ここでその紹介をさせてください。 前提 方針 クライアント証明書の問題点 一括でのSSL化・証明書検証 ドメイン変換 実際の設定 Squidの設定(抜粋) unboundの設定 nginxの設定(クライアント証明書検証) nginxの設定(HTTPサーバに対するproxy) nginxの設定(個別対応) ブラウザのProxy設定 その後発生した問題 ポート問題 Hostヘッダ問題 戻りヘッダ問
プロフェッショナルSSL/TLS
こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み) Ivan Ristić 著、齋藤孝道 監訳 520ページ B5判 ISBN:978-4-908686-00-9 電子書籍の形式:PDF 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み) 本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます 現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信
SSL証明書の有効期限確認に便利なツール「cert」 | DevelopersIO
こんにちは、コカコーラ大好きカジです。 「SSL証明書(サーバ証明書)の有効期限確認や証明書の種類を確認するのは面倒ですよね。」 OpensslのコマンドをGoogle検索して・・・というか、自分もそんな感じです。 同じな悩みを持った人いそうだなぁ・・・と思って調べたら解決していた人がいました。感謝です。 certとは SSL証明書(サーバ証明書)の情報取得ツールです。(MITライセンスです。) genkiroid/cert Cert is the Go tool to get SSL certificate information. 前提条件 MacOSXでの利用法を記載します。他のOSの場合は、Goが動作すれば動くようですので、上記URLのReadmeをご参照ください。 certのセットアップ brewを利用すれば簡単にインストールできます。 % brew tap genkiroid/
CloudFront に SSL 証明書を導入する際のポイントまとめ - Qiita
CloudFront に SSL を入れる際に気をつける項目のまとめです。 2017年9月時点では、特に S3 との連携で大きな制約があり、将来的には改善されていくのではと思います。現在の状況を確認してください。 (2017/10/26 追記) Lambda@Edge で S3 の制約を回避できるようになりました。こちらの記事を参照してください。 SNI か専用 IP か まず、ブラウザと CloudFront 間の通信で、SNI (Server Name Indication) が使えるかどうか検討します。 ガラケーやWindowsXP の IE は SNI に対応していません。これらの古い環境でサイトが見えなくても構わないかどうかを確認します。 SNI 非対応のブラウザに対応するには、専用 IP を使う必要があります。専用 IP は $600/月かかります。 https://aws.a
AWS Black Belt Online Seminar AWS Certificate Manager
3. 本資料では2016年7月13日時点のサービス内容および価格についてご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価 格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 内容についての注意点 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing inform
[ACM] AWS Certificate Manager 無料のサーバ証明書でCloudFrontをHTTPS化してみた | DevelopersIO
はじめに AWSチームの鈴木です。 本日、AWSより新機能「AWS Certificate Manager」(ACM) が発表され、無料でサーバ証明書を発行し、CloudFront、ELBで利用する事が可能になりました。 今回、ACMでサーバ証明書を発行し、CloudFrontの独自ドメイン設定でHTTPS通信を試す機会がありましたので、その一連の手順を紹介させて頂きます。 New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS 手順 ACM の利用開始 AWSコンソール、セキュリティ&アイデンティティに増えた「Certificate Manager」を開きます。 ACMは、2016年1月現在、米国東部(us-east-1)リージョンでの提供となります。 「Get Stard」のリンクより利用を開始します。 証明書の
![[ACM] AWS Certificate Manager 無料のサーバ証明書でCloudFrontをHTTPS化してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/05bf92c3dad6e282bf2cded7bb4b61f42547e50e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2014%2F05%2FAmazon_CloudFront.png)
AWS Certificate Manager(SSL/TLS 証明書を無料で作成) | AWS
AWS Certificate Manager AWS のサービスと接続されたリソースを使用した SSL/TLS 証明書のプロビジョニングと管理
Web over HTTPS
Web over HTTPS DevFest Tokyo 2016 #devfest16 2016/10/0
TCP serverをSSL/TLS化するのに nginx の stream_ssl_module/stream_proxy_module が便利 - たごもりすメモ
最近 Fluentd の通信プロトコルまわりをアップデートするためにあれこれいじっている*1んだけど、これはおおむね fluent-plugin-secure-forward がサポートしていた内容を Fluentd 組込みの forward plugin でもサポートしますよ、というものになる。 んで問題なのが secure-forward は SSL/TLS での接続のみしかサポートしてなかったんだけど forward では生の TCP で通信する*2ので、本当に secure-forward と forward それぞれの実装間で互換性が保たれているのか、直接的には確認する手段がない、ということになってしまう。 TCP server の SSL/TLS 化 一方世の中には SSL/TLS ターミネータという機能があって、たとえばロードバランサなんかがこの機能を持っている。何をやるかと
let's encrypt の証明書を作ってみた - 日記
let's encrypt ってなに? HTTPS 通信に必要な証明書を無料かつ、半自動で取得できる仕組みです。 無料で本当に使えるの? ちゃんと使えます。 ただ、古いブラウザやガラケー()のサイトに使うのは時は注意が要ります。 特にガラケーは引っかかると思いますが、中間証明書が必要で中間証明書を含む certificate chain の検証に対応しないブラウザでは、無効な証明書として扱われてしまいます。これは無料だから、こうなっていると言うわけでもなく、有料ながら格安証明書の RapidSSL でも同様で、中間証明書が必要になります。 証明書の取得に必要なものは? 大きく二つ必要です。 所有しているドメイン 公開されている Web サーバ 当然と言えば当然です。 一般的な SSL サーバ証明書を取得する時に必要な CSR や、格安証明書を取得する時に必要なドメイン名のメールアドレスも不
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
インフラエンジニアの方向けに、SSL/TLSとは何か、また証明書入手のポイント、HTTPS設定のポイントについて、最新の動向を踏まえて紹介します。また、最後の方で勉強会主催者のリクエストでおまけがあります(^^;Read less
NginxでSSLの評価をA+にする手順
昨日 HTTPS 化した シャンプー評価サイト のSSL評価をA+にしました。 参考にしたのは下の記事 HTTPS on Nginx: From Zero to A+ (Part 2) - Configuration, Ciphersuites, and Performance - Julian Simioni この記事のNginx証明書設定をPOSTDさんが翻訳しているので、近いうちに詳しい訳は日本語で読めるかも。ここでは適当にかいつまんだ手順を書いておく。一部時間のかかるコマンドもあるけど、基本的に決まった設定書くだけなので時間はかかりません。(もちろんどういう意味なのか知っておくに越したことはない) SSLの評価計測について SSLサーバーのテストはQualys SSL Reportで確認します。 Nginxデフォルトの設定で計測したらCだった。 SSLv3 を無効にする SSLv3
サーバ側のSSL Session Cache状況を確認する「rfc5077」というツールが便利 - oranie's blog
この2日ぐらいスマートフォンアプリ開発エンジニア必須スキルのNginxを触りまくっていて、同僚が見つけて来て触ったら便利だった。 githubはこれ。 https://github.com/vincentbernat/rfc5077 手順はREADMEに書いてあるけど、 sudo yum install openssl-devel gnutls-devel nss-devel libpcap-devel libev-devel nspr-devel pkgconfig git clone https://github.com/vincentbernat/rfc5077.git cd ./rfc5077 git submodule init git submodule update makeで完了。カレントディレクトリに/rfc5077-clientというファイルが出来るので、 ./rfc5
Speeding up TLS: enabling session reuse
Session reuse is one of the most important mechanisms to improve TLS performance: by submitting an appropriate blob to the server, a client can trigger an abbreviated handshake, improving latency and computation time. There exist two distinct ways to achieve session reuse: session identifiers as described in RFC 5246 and session tickets as depicted in RFC 5077. Update (2018-08) While the content o
SSL/TLSライブラリの正しい使い方(もしくは、コモンネームの検証について)
スマホアプリの市場拡大に伴い、直接SSL/TLSライブラリを使用するプログラムを書く機会も増えてきている今日この頃かと思います。 SSL/TLSライブラリを使う際には、接続確立時にサーバの認証を正しく行う必要があります。具体的には、クライアントプログラムで以下の2種類の検証を行うことになります。 SSL/TLSライブラリがサーバの証明書の検証に成功したこと サーバの証明書に含まれるコモンネーム注1が接続しようとしたサーバと同一であること 前者については、OpenSSLの場合はSSL_CTX_set_verifyの引数にSSL_VERIFY_PEERを指定するなどして、ライブラリ側で処理を行わせることが可能です(証明書の検証に失敗した場合はSSL_connectがエラーを返します)。 一方、後者についてはSSL/TLSライブラリによって差があり、検証機能を有効にするために特別な呼出が必要だっ
Application of GPU for High-performance Network Processing
SSLShader: Cheap SSL Acceleration with Commodity Processors Keon Jang+, Sangjin Han+, Seungyeop Han*, Sue Moon+, and KyoungSoo Park+ KAIST+ and University of Washington* Security of Paper Submission Websites 2 Security Threats in the Internet Public WiFi without encryption • Easy target that requires almost no effort Deep packet inspection by governments • Used for censorship • In the name of
SSLデータ転送とボトルネックについて
カテゴリー DX (2) 一般 (59) 研究会 (6) 働き方 (4) 技術 (352) Edge AI (2) Edge Computing (13) Erlang (1) FIWARE (2) Fog Computing (10) Infiniband (31) Internet of Things (32) Key Value Store (17) Linux (3) Linux KVM (10) Machine Learning (5) RealTime Web (14) SRE (3) Webサービス (42) インフラ (8) コンテナ (4) ストレージ (93) データセンター (7) データベース (47) データ流通 (6) テレプレゼンス (2) ネットワーク (215) 仮想化 (111) 災害コミュニケーション (26) 空間情報 (30) 量子コンピューティン
見せてもらおうか、IntelのAES-NIの性能とやらを 〜OpenSSLでベンチしてみた〜 - ..たれろぐ..
AES-NI の乗ってるマシンが使えたので OpenSSL でベンチマークしてみた。 結果:AES-NI なし 80〜90MB/s AES-NI あり 500〜530MB/s 「通常の5倍のスピードで処理してます!」「圧倒的じゃないか、我が軍は」 アクセラレーション命令の効果ってすごいねw 環境 パッケージ openssl-1.0.0-20.el6_2.3.x86_64 OpenSSL 1.0.0-fips 29 Mar 2010 built on: Wed Mar 28 01:11:34 BST 2012 options:bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) aes(partial) blowfish(idx) compiler: gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THRE
Overclocking mod_ssl | Paul Querna
At Velocity, I saw Adam Langley give a great presentation entitled Overclocking SSL. Last week Adam posted a distilled version of the Overclocking SSL presentation on his blog. He covers many topics for improving SSL performance. Unfortunately, his recommendations are decidedly focused on how Google runs their servers, and not a practical guide to how to improve your performance with a more standa
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How to Scale Your EMA