cert-manager基礎知識
cert-managerとは kubernetesクラスタ上でSSL/TLS証明書をシンプルに扱うためのツールです。 証明書の取得・更新・利用が簡単になります。 公式ドキュメント この記事の内容 この記事では、cert-managerを利用していくにあたり、最低限おさえておきたい「証明書発行・利用の流れ」と、「登場人物」だけを簡単にまとめます。 証明書まわりは分かりづらいし、事故ったら大変なことになるので、あまり触りたくない箇所かもしれませんが、基礎知識を知っておくことで最初の足がかりになると思います。 cert-manager v1.6.1での話をしていきます。 また、Let's EncryptをIssuerとした流れを説明しますので、他のIssuer Typeでは内容が異なる箇所があります。 証明書発行・利用の簡単な流れ まずざっくりとした流れを書いておきます。 実際のインストール方法
Web3電子署名の法的有効性に関する考察 | Heguim
Web3初の電子署名サービスEthSignが資金調達を受けました。 https://www.neweconomy.jp/posts/200634 昨今Web2の電子署名サービスは多々ありますが、Web3の電子署名サービスになると何が変わるんでしょうか?日本での法的有効性を検討してみたいと思います。 1.電子署名法の概要そもそも契約書の署名押印は、契約当事者において契約書通りの意思表示が行われたことを示すためになされるもので、署名押印がないからといって契約は無効になりません。あくまでトラブル防止目的になされるものです。実際に署名押印が重要になるのは裁判の時です。 裁判上では、当事者による署名押印の存在により、契約書通りの意思表示がなされたものと推定されます(民事訴訟法228条4項)。 正確にいうと、契約書は処分証書に該当し、当事者所有の印章と契約書内の印影が一致すると、当事者による押印である
Let's EncryptのDST Root X3ルート証明書の2021年9月30日の期限切れに伴うCRL発行の予想が外れた件のお詫び
Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。 DST Root X3ルート認証局が定期発行するCRL(証明書失効リスト)がどうなるか、ずっと気になっており、幾つかの場所で予想を紹介させてもらいましたが、その予想は外れてしまいまいした。お騒がせしてすみませんでした。その贖罪として、このブログを書こうと思います。 どんな予想をして、どう外したか(簡単に) 一般にルート証明書が期限切れになると速やかにルート証明書に紐づく秘密鍵を「破壊」し、ルート証明書が不正利用されないようにします。鍵を破壊してしまうと、CRL(証明書発行リスト)も発行できなくなるので、ルート証明書が期限切れになる前に、今後の中間CA証明書の検証で困らないように(Let's Encrypt
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
TLS証明書チェッカーcheck-tls-certの公開
こんにちは、技術開発室の滝澤です。 TLS証明書チェッカーcheck-tls-certを開発して公開したので紹介します。 このcheck-tls-certについて簡単に説明すると次の通りです。 check-tls-certは、TLS証明書の有効性と証明書チェインの検証するツール 主な用途は、TLS証明書の設置・更新作業の際の各種確認およびTLS証明書の(有効期限を含む)有効性の監視 様々な検査を実施し、各検査結果を出力することで問題箇所を把握しやすい check-tls-certの概要 TLS証明書チェッカーcheck-tls-certはTLS証明書の有効性と証明書チェインを検証します。 主にTLS証明書の設置・更新作業の際の各種確認およびTLS証明書の(有効期限を含む)有効性の監視のために利用できます。 次のサイトで公開しており、ReleaseページからLinux向けとmacOS向けのバ
Let's Encryptのルート認証局移行についてちょっと調べてみた - Qiita
私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。 問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。 公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020
Windows CryptoAPIの脆弱性によるECC証明書の偽造(CVE-2020-0601) - ぼちぼち日記
1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、この脆弱性の報告者がNSA(米国家安全保障局)だったことです。NSAはMicrosoftのアナウンスとは別により詳しい内容でこの脆弱性を警告するアナウンスを出しています。 「Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers」 これまで数々の諜報活動をインターネット上で行ってきたNSAが、この脆弱性を
Google Chrome EV表示の終焉 - ぼちぼち日記
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく
日本外務省がCSCA証明書(公開鍵)の公開に応じない件に関するまとめ|Guest
OSSTech濱野氏によるブログエントリが話題になっている。曰く、パスポート真正性確認アプリ開発のため、日本の外務省にCSCA証明書(公開鍵)の情報公開請求を行ったところ不開示の決定を受けたという。 外務省の不開示決定旅券冊子の情報暗号化に関する情報であり,公にすることにより,旅券偽造のリスクが上がる等,犯罪の予防及び公共の安全と秩序の維持に支障を及ぼすおそれ並びに日本国旅券の安全性が損なわれ,法人の円滑な海外渡航に支障を来すことにつながる可能性がある等,旅券事務の適正な遂行に支障を及ぼすおそれがある。 また、当該情報は,国際的に外交手段でのみ交換する慣行があり一般への公開をしない共通認識があるため,公にすることにより,他国,国際機関等との信頼関係が損なわれるおそれがあるため,不開示としました。不開示の理由は「セキュリティ」「国際慣行」の二つに分解することができる。この決定について濱野氏は
Certificate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io
Update 2018/3/30: Let's Encrypt が SCT 埋め込みに対応したため、 本サイトへの適用 を更新した。 Intro 本サイトは HPKP (public-key-pins-report-only) に対応していた。 しかし、 HPKP はその運用性の問題などもあり、 Chrome はすでに deprecate するアナウンスを出している。 代替の仕様として、 Certificate Transparency (CT) のエコシステムと、それを利用する Expect-CT の策定/実装が進んでいる。 CT エコシステムの概要、 Log の登録/検証、 HPKP から Expect-CT への移行などについて解説する。 「CA は信用できるのか?」問題 HTTPS 化が前提として定着した昨今、トラストアンカーとしての CA の責務は増している。 我々が依存する P
Symantecが再びGoogleの信頼を失った件についてのメモ - Technically, technophobic.
(初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください) 何が起こるのか Ryan Sleeviさん(Googleの人)がBlink-devのメーリングリストに投稿したこれにまとまっています:https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ 経緯についてはいったん飛ばして、どのようなアクションが提案されているのか見ます。 To restore confidence and security of our users, we propose the following steps: A reduction in the accepted
【悲報】Google、シマンテック発行のSSL証明書を問答無用でブロックへ : IT速報
Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。 シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証(EV)ステータスの認識を停止することです。 シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。 SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザー
自堕落な技術者の日記 : HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える - livedoor Blog(ブログ)
もくじ 1. はじめに 2. HPKPが生まれた背景 3. HPKPの仕組み 4. ピンの設定の考察 4.1. ピンの値の取得方法 4.2. 証明書チェーンに一致するピンの選択 4.3. 証明書更新とHPKPヘッダの設定変更の運用方法 4.4. バックアップピンという名前のイケてなさ 4.5. CA鍵のバックアップピンのオススメの値 4.6. 証明書チェーン中で複数ピンをつけても意味はない 4.7. 同じCA証明書にPinし続ける場合の課題 4.8. 2つのCA証明書にPinする場合の課題 4.9. max-ageのオススメ値を考える 5. HPKPはどの程度使われているのか 6. 今のHPKPの何がいけなかったのか 7. おわりに 8. (参考) HPKP関連の勉強になるリンク 9. 追記 9.1. 追記(2017.02.26) HPKPのブラウザサポート状況 9.2. 追記(2017.
GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された
エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている。 概要 GoDaddy社は米国のホスティング(レンタルサーバー)やレジストラの大手で、認証局(CA)の事業も手がけています。 GoDaddyが発行するドメイン認証証明書の認証手続きに不備があったとして報告されています。 In a typical process, when a certificate authority, like GoDaddy, validates a domain name for an SSL certificate, they provide a random code to the customer and ask them to p
無料でサーバ証明書を発行してくれる「Let’s Encrypt」が運営資金をクラウドファンディングで募集
HTTPS普及のために、無料でSSL/TLSサーバ証明書を発行しているサービス「Let's Encrypt」が、運営の支援を求めてクラウドファンディングでのキャンペーンを開始しています。 Make a More Secure Web with Let's Encrypt! by Sarah Gran | Generosity https://www.generosity.com/community-fundraising/make-a-more-secure-web-with-let-s-encrypt Launching Our Crowdfunding Campaign - Let's Encrypt - Free SSL/TLS Certificates https://letsencrypt.org/2016/11/01/launching-our-crowdfunding-cam
【翻訳】WoSign と StartCom による今後の証明書は拒否します - Mozilla Security Blog 日本語版
この記事は、2016 年 10 月 24 日付で Mozilla Security Blog に投稿された Distrusting New WoSign and StartCom Certificates(筆者: kwilson)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。 WoSign という認証局(CA)が技術面と運用面において多くの失態を犯していたこと、より深刻なことには、2016 年 1 月 1 日をもって SHA-1 SSL 証明書を発行できなくなる期限を回避するため、発行日を古い日時に改ざんして証明書の発行を行っていたことを Mozilla は確認しました。さらに、別の CA である StartCom の所有権を WoSign が完全に保有しているにも関わらず、Mozilla の要求するポリシーに反してこの事実を公開していなかったことも判明しま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Googleが認証局サービスを一般提供としてリリース
マイナンバーカードで署名する / mynumbercard
CFSSL
AWSではてなブログの常時HTTPS配信をバーンとやる話 / The Epic of migration from HTTP to HTTPS on Hatena Blog with AWS
