中間証明書に対する対応が各アプリケーションで異なる話 | さくらのナレッジ
はじめに 本記事では中間証明書が正しく設定されていないWebサーバーへのリクエスト時に、各アプリケーションがどのような動作をするかについて調査した結果をまとめます。最初に前提知識や調査に至った理由を書き、その後に調査結果を述べます。 前提知識 本記事を読むにあたって簡単なSSL/TLSの基本的な知識が必要です。 サーバー証明書/中間CA証明書/ルート証明書の違いとは? サーバー側ですべき設定 WebサイトをSSL化するためには、サーバー側がサーバー証明書と中間証明書を設定する必要があります。しかし、Webサーバーで中間証明書を設定する場合、Webサーバーソフトによっては中間証明書を設定する項目がない場合があります。例えば"Nginx"には中間証明書を直接指定するディレクティブが用意されていないため、サーバ証明書と中間証明書を結合したものを"ssl_certificate"で指定します。"A
Let's EncryptでワイルドカードなSSLサーバー証明書が安価なVPSとDNSでマルチドメインWEBサーバーな話
はじめに 前置き タイトルから感じ取れるとおり、この記事はゆるいメモです。ご了承ください。 ゆるいメモですので、端折るところはごっそり端折っています。ご了承ください。 メモと言いつつ、誰かに話しかけるような文体になっています。未来の自分に話しかけています。ご了承ください。 ゆるいメモと言いましたが、一つ一つメモを記載していったところ、まったくゆるくなくなっていました。必要な個所だけ参照されるのが良いかと思います。 Let's Encryptについて さて、まずはLet's Encryptについて本記事に関連することを少し。 Let's Encryptでワイルドカード証明書を取得(新規発行および更新)するにはDNS認証を行う必要があります。 DNS認証を行うにあたっては、証明書発行のタイミングで、対象のドメインのDNSにTXTレコードを登録する必要があります。 つまり、Let's Encry
DG-PRO1RW docomo IoT 高精度 GNSS 位置情報サービスを使う - Beyond your wall with Drogger
今回は、(株)NTTドコモの高精度 GNSS 位置情報サービス*1を基準局として使用する方法を紹介します。 このデータは国土地理院の電子基準点での観測データとドコモ独自固定局に基づいたもので、非常に信頼性の高いものです。 使用される基準局は移動局の位置に基づき近くのものが自動選択されるため、ベースラインが短く容易にFIXします。ビズステーションの所在地長野県松本市ではA-GNSS+コールドスタートでも30秒以内にFIXしています。(ウォームスタートの場合は1~2秒) docomo IoT 高精度 GNSS 位置情報サービスを申し込むと以下のような情報が送られてきます。 項目 例 Drogger-GPSでの設定項目名 接続先 xxxxxx-xxxx.xxx ホスト マウントポイント xxxxx マウントポイント ポート 2101 ポート ユーザーID bizstation ユーザー名 パスワ
サーバー証明書/中間CA証明書/ルート証明書の違いとは? | さくらのSSL
SSL証明書は、上位の証明書が次の証明書に署名し、次の証明書がさらにその次の証明書に署名するという信頼の連鎖(トラストチェーン)で成り立っています。例えば、もし上記のような階層構造の中間に挟まっている証明書が抜けていたり、最上位の証明書が無かったりした場合、この階層構造が崩壊してしまい「example.jp」ドメインは認証されません。認証されない場合、ブラウザにエラー画面が表示され、サイトにアクセスできなくなります。 さて、「認証されずにサイトにアクセスできない」と書きましたが、そもそもSSL証明書がドメインを認証する(SSL証明書を送ってきたサーバーのドメインが、SSL証明書に記載されたドメインと同じであると判断する)仕組みはどうなっているのでしょうか? 例のように「example.jp」のSSL証明書は、サーバーからセットで送られてきた「Example CA intermediate
OpenSSL で SAN 付きの自己署名証明書を作成する
サーバー証明書に自己署名証明書を使っているとブラウザが警告を表示しますが、クライアント PC に証明書をインストールしても Chrome だけは警告が消えませんでした。 Chrome はコモンネームではなく SAN(Subject Alternative Name) をチェックしているからだそうです。(Chrome 58 以降) そこで、以前 OpenSSL を使って自己署名証明書を作成しましたが、 - [OpenSSL を使って自己署名証明書を作成する](http://kuttsun.blogspot.com/2018/04/openssl.html) 今回はこれに SAN を加える方法です。 細かい説明は以前の記事(上記)に書いてあるので、ここでは実行するコマンドのみを載せたいと思います。 ## SAN 用のテキストファイルを用意 事前準備として、以下のように SAN の内容を記述した
CSP SSLサービス終了のお知らせ | CSP SSL
2019年10月1日 株式会社CSPフロンティア研究所 平素は格別のご高配を賜り厚く御礼申し上げます。 この度、弊社は、親会社であるセントラル警備保障株式会社による研究開発部門の集約および経営資源の統廃合により、2019年9月30日をもちましてグループ会社であるCSPビルアンドサービス株式会社と合併いたしました。それに伴い、2006年より運営しておりましたCSP SSLサービスを終了させていただきました。 大変申し訳ございませんが、2019年9月30日に新規受付・更新ならびにマルチドメインの追加等の証明書発行依頼の受付停止となりました。なお、発行済みのSSLサーバ証明書につきましては、証明書の有効期限が来るまで引き続きサポートさせていただきます。 皆様の長年にわたるご厚情に心から感謝申し上げますと共に、突然の業務終了でご迷惑をおかけしますことを深くお詫び申し上げる次第でございます。 皆様の
GASとCloud SQLのSSL接続 - Be Happyman!!
Google Apps Script(GAS)から Google Cloud SQL にSSLで接続する方法に関して、日本語の情報があまりない気がするので簡単にまとめました。 1.Cloud SQL 側でやること 以下マニュアルの手順に従って、次の3つのファイルを準備します。(コンソールから簡単な手順でダウンロードできます) server-ca.pem :サーバー証明書 client-cert.pem :クライアント公開鍵証明書 client-key.pem :クライアント秘密鍵 cloud.google.com 2.GAS 側でやること GAS から SSL 接続するためには、1.の手順で取得した3つの認証情報を、getConnection メソッドのパラメータに文字列として渡す必要があります(サンプルコードではコピペしています。ちなみに、コピペに失敗してパラメータが違った場合は、「実行
CharlesでSSL通信を覗く(/ω・\) | SIOS Tech. Lab
こんにちは、サイオステクノロジー技術部 武井です。今回は、便利だなと思ったちょっとしたツールを備忘録も兼ねて紹介します。CharlesというツールでHTTPやHTTPSの通信を覗き見ることができます。Fiddlerみたいなものです。Macでも使えるのが嬉しいです。 仕組み HTTPのプロキシとして動作します。HTTPの場合は普通のHTTPプロキシとして動作するので、その動きは容易に想像出来ると思いますが、面白いのはHTTPSプロキシとして働くときです。以下の図のように動作します。 (1) ユーザーは、ブラウザからHTTPSのWebサイトにアクセスします。このときブラウザのプロキシはCharlesに向けているものとします。 (2) Charlesがリクエストをプロキシして、HTTPSのWebサイトに到達します。 (3) HTTPSのWebサイトからSSL証明書を取得します。 (4) Char
TLSについて学んだ - 角待ちは対空
仕事でTLS関連のトラブルがあったが全然基礎知識がなかったので1から学んだ。この記事は特にTLSの仕様を解説したいわけではなくどこを参照してまだかメモっておく。僕が解説するよりそっちを参照したほうが確実。 まずSSLとTLSの違いすらわからないレベルだったのでウィキペディア読んだ。 Transport Layer Security - Wikipedia ウィキペディアがいいのは常に更新されているところで、例えばPOODLE攻撃とか比較的最近のトピックも網羅されている可能性が高い。ウィキペディアで得た知識だけでPOODLE攻撃がわかるかというと微妙だけどインデックスは貼れる。 今回の問題はハンドシェイクに問題があるとわかっていたのでハンドシェイクの詳細が知りたい。ウェブ上の記事だと SSL/TLS(Part.1) (1/3):不正アクセスを防止するSSL/TLS(2) - @IT が一番詳
SNIの動作確認にはcURLのresolvオプションが便利 | DevelopersIO
ども、大瀧です。皆さん既知かもしれないのですが、cURLの--resolvオプションがとても便利だったので紹介させてください! hostsファイル代わりに使える--resolvオプション 様々なWebページやWeb APIの動作確認で活躍するCLIのHTTPクライアント、cURL。要件に応じて様々なオプションを駆使していると思います。例えば複数のコンテンツをホストするバーチャルホストを検証するためにはHostヘッダをリクエストに指定します。AWSのCloudFrontにカスタムドメイン(CNAMEs)を設定しているときの例が以下です。 $ curl --hearder 'Host:example.com' https:///XXXXXX.cloudfront.net/ HTTPであればこれで事足りることが多いのですが、HTTPSでSNI(Server Name Indication)を設定
世界30%のSSL証明書が3月と10月に強制無効化!? あなたのサイトが大丈夫か確認する3ステップ | 初代編集長ブログ―安田英久
2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン/シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元: SymantecGeoTrustRapidSSLThawte無効化スケジュール: 2018年3月15日ごろ: Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ: Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ: Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ: Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼
ApacheでSSL (その勘所)
CSR作成まで まずはSSL関係ファイルの置き場所を作成。場所は任意。 作成したSSL関係ファイル置き場に移動。 # mkdir /usr/local/etc/apache22/ssl # cd /usr/local/etc/apache22/ssl この下の秘密鍵作成からCSRの作成まではRSA暗号方式のものですが、処理の面で有利なECDSAな証明書も作成するならECDSAなSSL証明書を作ってみるをご参照願います。2016年時点ではECDSAな証明書のみのウェブサーバ公開はまだお勧めできないのでこの下のとおりにRSAな証明書も作成して下さい。 秘密鍵作成 最近はSSL証明書申請の際に最低でも2048bitの鍵長のCSRを求められることが多いので以下のように作成。 # openssl genrsa -out private.key -aes128 2048 Generating RSA
Strong SSL Security on Apache2
Strong SSL Security on Apache2 Published: 14-06-2015 | Last update: 27-04-2019 | Author: Remy van Elst | Text only version of this article ❗ This post is over five years old. It may no longer be up to date. Opinions may have changed. This tutorial shows you how to set up strong SSL security on the Apache2 webserver. We do this by updating OpenSSL to the latest version to mitigate attacks like Hear
Using an SSL certificate with OTRS – Michiels Blog
Reasons for using HTTPS with OTRS … well really, there is NO reason NOT to. When you’re NOT using HTTPS you’re exposing your password in plain text when logging in. Even if you’d be only using OTRS on your corporate network, can you trust everything and everyone on your network? You’re having data about your customers in OTRS. You should make sure this data is not exposed or leaked; so you should
postfixとdovecotでメールサーバーを作る。ついでに意識高い系SSL設定。
ブログサーバーをお名前VPSからConoHaに移行したのに合わせて、同じサーバーで動かしていた独自ドメインメールサーバーをIDCFクラウド(ワンコインサーバー)に移設しました。 メールサーバー作るぞ前回メールサーバー作ったのが、お名前VPSでブログ上げた時ですから、かれこれ2年半くらい前です。2年も経てば、何か新しいソフト出てるかなぁ、と思ったら、やっぱりまだpostfix+dovecot現役なんですねぇ。別のものを試したかった気もしないではないです。 とは言え、まずはメールサーバーとして動かすのが最優先ですので、移設しました。ちょっとだけ、SSL設定で「意識の高さ」をアピってみる(苦笑)。 目標。 postfixでメールサーバーを作る。認証系は可能な限りdovecotと同期させ、管理の手間を省く。SMTPS(submission)対応を行う。dovecotでIMAPサーバーを作る。認証系
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Install Testssl.sh on Ubuntu 20.04
AWS LightsailでWordPressを構築しSSL化する方法 | karelie
個人でEV SSL証明書が欲しい話
wikihub.io
Azure Redis Cacheにredis-cliで接続する (SSLで) | Windows Maniax