HTTPS Certificate Revocation is broken, and it’s time for some new tools
This article was originally published on Scott Helme's blog and is reprinted here with his permission. We have a little problem on the web right now and I can only see it becoming a larger concern as time goes by: more and more sites are obtaining certificates, vitally important documents needed to deploy HTTPS, but we have no way of protecting ourselves when things go wrong. Certificates We're cu
クライアント証明書環境/失効操作 - PukiWiki
2020-09-25 composer 2019-03-02 SQLite 2019-02-16 GCP 2019-01-17 wget tar 2018-06-16 Inkscape 2018-06-07 wireshark 2018-05-31 ACR33Uスマートカードリーダ 2018-04-01 CakePHP/3系インストール(macos) PEAR/macos 2018-03-31 CakePHP/インストール 2018-03-30 emacs 2018-02-02 Squid/多段プロキシ 2018-02-01 Homebrew 2018-01-29 MacPorts Samba 2018-01-26 VirtualBox 2018-01-25 PuTTY 2017-12-15 Windowsのプロセス監視 2017-10-14 TensorFlow Python 2017-
証明書の失効とCRLの発行
証明書の失効とCRLの発行 2003/6/14作成 2004/9/19更新 主にクライアント証明書の場合ですが、発行したあとに秘密鍵が盗まれたり、紛失することがあります。 具体的には、pkcs12のファイルを勝手にコピーされたり、秘密鍵がビルのOSと一緒に心中してしまうこともあります。 また、発行した人が意図的に誰かに秘密鍵を配布したり、譲渡する可能性もあります。 そういった証明書をいつまでも信用するわけにはいかないので無効となった証明書のリストをCAから発行してクライアント証明書の検証をするWebサーバに配布します。 1.証明書の失効 さっそく、証明書を失効します。 CAで発行した証明書を使ってCAで失効手続きをすることになります。 -revokeオプションのあとに、CAが発行した証明書を指定します。
opensslによるサーバー証明書失効リスト (CRL) 確認 - IKB: 雑記帳
以前 d:id:i_k_b:20090714:1247565189 で書いた情報に不足があったため補足。 openssl s_client サブコマンドは SSL 上で SMTP や POP、 HTTP を通すためのクライアントコマンドで、その際にサーバー証明書の検証が実施される。単純には下記コマンドで server.com の port ポートに接続して対話待ちに入る。 $ openssl s_client -connect server.com:port HTTP を話しているならこれに以下を入力することでトップページのサイズや更新日などを取得でき(詳しくは HTTP プロトコルを参照)、あわせてサーバー証明書の検証がなされる。 HEAD / HTTP/1.0<改行> <改行> ただし、この状態では PKI の信頼の基点となるルート証明機関 (CA: Certificate Autho
私が愛した openssl (PKI 編 その 2) - してみんとて
id:blooper:20120907 の続きです。参考図書などはそっちを見て頂くのが宜しいのではないかと。 pkcs12 PKCS#12 形式のファイルを扱います。PKCS に関しては wikipedia:PKCS を、でした。昔は PFX と言っていたらしく、Windows だと今でも拡張子を .pfx としています。.p12 は、いけるんだっけ? 何の為の形式かっつーと、証明書とそのペアの秘密鍵を格納して、秘密鍵はパスフレーズで暗号化します。その他認証局の証明書も格納できます。例えば、Windows の CryptoAPI とか Java の keytool とか IBM の iKeyman とかは、RSA 秘密鍵をそのままではインポートできなくて、PKCS#12 形式にして証明書と一緒にインポートしてあげる必要があります、たしか。 先ずは作ってみます $ openssl req -
SSL証明書の更新 - volatile memory
いつものように Thunderbird でメールをチェックしようとしたら、SSL 証明書の有効期限が切れているとの警告が出た。メールサーバには imapd-uw を使って SSL 経由で接続している。自分で運用して自分でしか使っていないサーバなので、使っている証明書は、認証局 (CA) も自前の、いわゆるオレオレ証明書というものだ。 imapd で使う証明書を自己証明書にしても良いのだが、認証局の運用の仕組みを知りたかったので、自前サーバ上で OpenSSL による認証局を立ち上げ、imapd で使う証明書に署名をする形にしている。認証局の証明書は自己証明書で有効期限は10年とし、imapd の証明書の有効期限は 1 年としている。 自己認証局で、署名をする機会などそうそうあるものではなく、openssl を実行することは実際のところ、年に1度になっている。当然のように前にやったことなど忘
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
