Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Redirecting to ssl-config.mozilla.org...
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
暗号化ソフト狙った攻撃で情報流出か NHKニュース
インターネットで広く利用されている暗号化ソフトに重大な欠陥が見つかった問題で、大手カード会社「三菱UFJニコス」のホームページがこの欠陥を狙った不正アクセスを受け、のべ894人分の個人情報が外部に流出した可能性のあることが分かりました。 ソフトの欠陥が確認されてから国内で被害が明らかになるのは今回が初めてです。 三菱UFJニコスによりますと、今月9日から11日にかけて、ホームページに不正な通信が繰り返されたため調べたところ、「OpenSSL」と呼ばれる無料の暗号化ソフトの欠陥を狙った不正アクセスが確認されたということです。 この不正アクセスで、クレジットカードを所有する会員のべ894人分のカード番号の一部や、氏名、住所それに電話番号などが不正に閲覧され、外部に流出した可能性があるということです。 これまでのところカードが不正に使われたケースは確認されていないということですが、三菱UFJニコ
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家
OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家:チェック方法まとめ オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大。専門家は「最悪のケース、つまり秘密鍵の漏えいを想定して対処すべき」と述べている。 オープンソースのSSL/TLS実装「OpenSSL」に見つかった情報漏えいにつながる脆弱性の影響が拡大している。OSやクラウドサービス、ネットワーク機器の中には、脆弱性のあるOpenSSLを利用しているものが多数あり、ベンダー各社が確認・対応を進めている。国内でもこの脆弱性の影響を受けるサイトが確認されており、中には一時的にサービスを停止し、対処を優先したサービスもある。 この脆弱性は、OpenSSL バージョン1.0.1/1.0.2系に存在する。Heartbeat拡張の実装に見つか
diffie-hellman dhe
なんか、質問受けてたんですよね、きっと DH と DHE って何が違うの? って話になったんで検索しました 夜でもアッサム: SSL(TLS)のDHとDHEの違い なんかもぉ、しっかり書いてありましたよDHEのEは、EphemeralのE。DHEは、DHパラメータを通信時に動作に作成する。DHは、DHパラメータは証明書に書かれている物を使う。よって、static DHとも呼ばれる。DH-RSAは、証明書にCAがRSAで署名したという事。証明書にRSA鍵が入っているわけではない。DHE-RSAは、証明書にRSA鍵が入っている。 でね、気になるので原典をあたるわけですよ、 英語だと辛いから和訳ですけど The TLS Protocol Version 1.0 DH は、認証局(CA)によって署名されたサーバー証明書に含まれているDiffie-Hellman パラメータを使用した暗号スイートを示
SHA-1署名の証明書は2015年末で発行停止、シマンテックがSHA-2移行を促進
シマンテックは2014年2月5日、同社が発行するデジタル証明書の直近のロードマップについて会見し、2015年末をもって署名アルゴリズムにSHA-1を採用したデジタル証明書の発行/販売を停止すると発表した(写真)。現在はSHA-1ベースの証明書とSHA-2ベースの証明書から選択できるが、2016年以降はSHA-2ベースの証明書しか購入できなくなる。 前提となるSHA-1およびSHA-2は、一方向ハッシュ関数である。署名が正しいかどうかの検証や、データの改ざんの検知などの用途に利用できる。Webアクセスにおいては、デジタル証明書の署名/検証(証明書発行業者によるSSLサーバー証明書への署名と、Webブラウザーによる署名の検証)に使われるほか、SSL/TLSプロトコルの各工程(WebブラウザーとWebサーバー間で情報を共有するための各種の手段)で使われる。 SHA-1とSHA-2の違いは、セキュ
RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ
こんにちは。CTOの馬場です。 昨晩1/28 21:00JSTにRHEL5/CentOS5にインストールされているルート証明書のうち、GlobalSignの有効期限が切れました。 伴ってREHL5/CentOS5からのHTTPS(SSL)接続にてGlobalSignの証明書を使っているサイトへの接続がエラーになるようになりました。 私の確認している範囲では、 curlコマンドやPHPのcurlライブラリなどでの接続時に接続エラーとなることに起因して以下のような影響が出ています。 ※接続される側ではなくて、接続する側での問題です※ oauthなどの外部認証が不可 決済などの外部連携が不可 対策 RHEL5の場合、errataが公開されているのでupdateしましょう。 Red Hat Customer Portal https://rhn.redhat.com/errata/RHEA-201
無料のSSL証明書StartSSLを活用する - Qiita
背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに本人確認のメールが届くので、受信したメールのa
SSL Certificate Checker - Diagnostic Tool | DigiCert.com
If you are having a problem with your SSL certificate installation, please enter the name of your server. Our installation diagnostics tool will help you locate the problem and verify your SSL Certificate installation.
SSL中間CA証明書を検索するウェブサービス、SSLDB.info
はじめに SSLを使うウェブサイトでは、ウェブサーバへのサーバ証明書のインストール作業が必要となります。このときややこしいのが、中間CA証明書の扱いです。多くの場合、証明書会社が発行するサーバ証明書は、ユーザのウェブブラウザにインストールされているルート証明書から直接署名されているわけではありません。ルート証明書によって署名された中間CA証明書によって署名されています。そのため、ブラウザはサーバ証明書とルート証明書の信頼のチェーンを辿るために、中間CA証明書を必要とします。 中間CA証明書が見当たらない場合、サーバ証明書が正しいものであるにもかかわらず、ブラウザはエラーと判断してしまいます。そのため、サーバ証明書をインストールする場合には、それに対応する中間CA証明書も一緒にインストールするのが一般的な方法となります。 ややこしさを増す中間CA証明書 最近では推奨されるRSAの鍵長が102
SSL/SPDYを攻撃するCRIMEはBEASTの正統な後継者だ
はじめに 以前のエントリでSSLに対する新しい攻撃手法「BEAST」を紹介しましたが、今回はBEASTをさらに発展させた「CRIME」という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド(英語)が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY(あるいはHTTPボディ部のgzip圧縮)で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
SSL のパフォーマンスでお嘆きの貴兄に - What I’ve found has never been enough@Hatena
SSL アクセラレータの価格に胃を痛めている貴兄、それが買えず SSL のためだけにサーバの台数をニョキニョキ増やしている貴兄、そうでなくとも SSL のパフォーマンスでお嘆きの貴兄のために、いろいろまとめてみましたよ。 SSLセッションキャッシュのタイムアウト設定を長くしよう SSL の負荷のほとんどはセッションの生成によるものなので、当然のようにサーバ側の SSL セッションキャッシュを有効にしておられると思いますが、そのタイムアウトの設定がデフォルトのままという方が多いのではないでしょうか。 たとえばApacheでしたら、設定サンプルのまま SSLSessionCache shm:/usr/local/apache/logs/ssl_gcache_data(512000) SSLSessionCacheTimeout 300 としている方が多いのではないでしょうか。 各サーバのデフォ
WebサーバーにSSLの証明書が正しくインストールされているか確認する
解説 例えば個人情報の登録を必要とするWebサイトでは、盗聴やなりすましなどの攻撃を防ぐため、SSLによる通信路の暗号化が求められる。それにはWebサーバの出所を証明するデジタル証明書(以下、サーバ証明書)を証明機関(CA)から取得し、サーバにインストールする必要がある。 ただ、この作業は設定項目も多ければ手順もそれなりに複雑なので、どこかで失敗する可能性は否定できない。もしサーバ証明書の取得やインストールに失敗すると、SSLを必要とするWebページをユーザーが閲覧した際にエラーが表示されてしまう。SSLを必要とするような、信頼を求められるサイトでこのようなエラーはあってはならないものだろう。 サーバ証明書のインストールに失敗しているサイトのエラー表示例 これは、わざと誤ったサーバ証明書をインストールしたWebサイトをInternet Explorer(IE)で開いたときの例。IE以外のW
100ドメイン以上を運用する企業向けクラウドのWebサーバー(Linux + Apache + mod_proxy_balancer )
Uncategories 100ドメイン以上を運用する企業向けクラウドのWebサーバー(Linux + Apache + mod_proxy_balancer ) こんちには、インフラチームのyanaです。 前回のPostgresに続きまして、実際に弊社のサービスで利用しているWebサーバーの ご紹介させていただきます。 Linux+Apacheの標準的な構成で、負荷分散と可用性維持のためにApacheの標準モジュールであるmod_proxy_balancerを利用したロードバランサーを導入しています。 上記の構成にした理由は、以下の3つです。 1.複数のFQDN環境でのSSL提供が可能である 2.拡張性や自由度がある 3.上記の2つを実現させ、低コストでの運用できる 1.複数のFQDN環境でのSSL提供が可能である 弊社のサービスでは、個人情報やクレジットカード情報を取り扱う場合があるた
SSL/TLS Supported CipherSuites
Revision: 3.0 (Initial Release: 2010-Mar-05 Revised: 2011-Aug-02) SSL Server (Web Server, Application Server) SSL Server (Web Server, Application Server)
mod_rewriteでauガラケーのSSL対応しようとしたら見事にハマった件について
最近暑いですね、ホント嫌になっちゃいます。最近はプライベートでIX2015を2台貰ったので、ちょっと遊んでみようかと思っております。
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
mod_sslでセキュアhttpサーバを構築したい~証明書内容を変更してみよう~
Red Hat Linux 7.xやTurbolinux7では,システムインストール時にApacheを候補に含めると,SSL(Secure Socket Layer)暗号化環境が整う。 しかし,下画像のように証明書を表示させてみると,「発行先」「発行元」共に「localhost.localdomain」と記載されているはずだ。正規にベリサインから証明書が発行されていなくても,この記載内容だけは変更することが可能だ。 発行先,発行者共に「localhost.localdomain」と表示されている ここで紹介するSSL環境は,mod_sslと呼ばれるモジュールを追加することでセキュアなhttpサーバを構築する方法である。ほかにもApache-SSLと呼ばれる,モジュールではなく単一バイナリでパフォーマンスを重視するプログラムもある。mod_sslによるモジュール組み込みは比較的導入が手軽なた
[Think IT] 第7回:Apache+SSL環境を構築しよう! (1/3)
こんにちは。ビーブレイクシステムズの木下です。前回はSSLのメカニズムについて解説しました。今回は、皆さんのApacheでSSLを利用する方法について解説します。 それでは、皆さんの環境にApache+SSL環境を構築しましょう。 Apacheをインストールされていない方は、「第2回:Apacheをインストールしてみるのは難しくない」から、「第5回:ApacheをWindowsへインストールするのだ!」を参照し、それぞれの環境に合わせてApacheをインストールしてください。 インストール時の注意点として、ソースインストールを行う方はconfigure時に、「# ./configure ?enable-SSL」としmod_sslを有効にしてください。また、Windowsの方はOpenSSL付きApacheインストーラでApacheをインストールしてください。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.carbonwind.net/TLS_Cipher_Suites_Project/tls_ssl_cipher_suites_annex_a1_main.htm
SSL Labs - Projects / Public SSL Server Database - SSL Server Test