Let's encryptとSSL/TLSに関する誤謬 - Chienomi
全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。 その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat
メガバンク+ネット専業銀行のSSL対応状況(2016年10月版) | T.Ozakiの日記 | スラド
前回の2016年5月実施分はこちら。 調査方法はいつも通り ①ぐぐる→②銀行トップページ表示→③アドレスバーのhttpをhttpsに変える という単純な人海戦術方式です。 今回からゆうちょ銀行を調査対象に追加します。 また、評価基準のランクを以下のように設定しました。 ※2016.10.29 21:50に評価DとEの判定基準を入れ換えました ---+------------------------------------------------------------ A++|常時SSL HSTS Preload登録済 A+ |常時SSL HSTS設定(Preload未登録) A |常時SSL(HTTPからはリダイレクト転送) A- |ランクA以上だが、設定にセキュリティ上の問題がある ---+------------------------------------------------
OpenSSL脆弱性対応手順まとめ - infragirl’s blog
2016 - 11 - 20 OpenSSL脆弱性対応手順まとめ おはこんばんにちは。 OpenSSLさんがまた 脆弱性 ですって(´・ε・`)? JVNVU#92930223: OpenSSL に複数の脆弱性 私の中ではBINDさんの次に多い印象があります。 BINDの 脆弱性 対応手順をまとめたのにならって、今回はOpenSSLバージョンをまとめてみますね。 infragirl.hatenablog.jp 1.OpenSSLの 脆弱性 の発表をキャッチする 本家が情報をわかりやすく出してくれてるようです。 脆弱性 がアナウンスされた時 https://twitter.com/ha4gu/status/750102197174607872 の一次ソース「Security Advisory」はここですね。 ここの RSS が見つけられない…。 https://www.openssl.org
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記
0. 簡単なSLOTH攻撃のまとめ 最初に簡単なまとめを書いておきます。長文になりそうなので、読むのが大変な方はここだけ見ておいてください。 MD5ハッシュは既に安全ではなく、証明書の署名方式での利用は停止されていたが、後方互換のためハンドシェイクデータの署名方式にRSA-MD5が今でも利用できるTLS実装が幾つか存在していた(Firefox NSS, Java等)。 先週、INRIAグループからハッシュ衝突を利用して実際にTLSを破る攻撃(SLOTH)が公開された。それを受け、いくつかの実装でRSA-MD5を完全に利用不能にする修正が行われた(CVE-2015-7575)。 SLOTHでは、SHA1やTLS、IKE、SSHに対する攻撃についても評価を行い、幾つかは全く現実的に不可能なレベルではないことが示された。MD5とSHA-1でTLSハンドシェイクの完全性を担保しているTLS1.0/
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
「サーバー証明書」簡単解説 ― 奈良教育大学 情報処理センター
これを認証局から「買って」=「ファイル」を貰って、サーバー(webmail.nara-edu.ac.jp)の所定の場所にインストールします。 費用は、通常、大学で使える証明書の場合、4万~8万円/1年間有効、です。もちろんサーバー1台あたりです。 例えばCyberTrust、 veriSign 認証局(CA)の階層 認証局は階層構造を持っています。 最上位に位置するルート認証局には、以下のような、主に米国(日本法人もあり)の企業が運営しているものがあります。 VeriSign社 GeoTrust社 Cyber Trust社 Microsoft社 SECOM社(日本) etc これらのルート認証局が証明書を発行した「子」認証局があり、「子」認証局が証明書を発行した「孫」認証局・・という階層構造になっています。 NII(国立情報学研究所)も認証局を運用しており、「ルート認証局 SECOM社」の
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL Server Test (Powered by Qualys SSL Labs)