Apache httpd で接続を許すSSL/TLSのバージョンを制限する方法 |
WEBサービスを提供する側としては、できるだけ安全なサービスを提供したいですので、脆弱性が発見されている SSL や TLS 1.0, 1.1 でのサービスは極力避けたいところです。 しかし TLS 1.2 だけの接続を許可すると、今度は古いブラウザがアクセスできなくなってしまいますから、ご自身が提供しているサービスへの利用者が、どのような割合で古いブラウザを利用しているかを調査した上で TLS プロトコルのバージョンを制限することが望ましいでしょう。 Apache httpd での SSL/TLS バージョンの制限方法 それでは本題の Apache httpd で SSL/TLS のバージョンを制限する方法について解説します。 Apache httpd での SSL/TLS のバージョン指定は SSLProtocol ディレクティブで行います。 SSL/TLSの全てのバージョンの接続を許
opensslのバージョン確認とアップデート(Heartbleed対応) - Qiita
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 バグの詳細は細かく見てないけど、アップデートしといたほうがよさそうなので手順をまとめてみる Macとyumが使えるLinux系だけです。 概要 1.0.1以降にバグがある 1.0.1以降(1.0.1fと1.0.2-beta1も含む)に影響がある。 推奨される対処方法は、1.0.1gへアップグレードすること、もしくは-DOPENSSL_NO_HEARTBEATSオプションをつけて再コンパイルすること。 ただし、Linuxの場合はOSごとに対応済みバージョンが異なる場合があるので注意。多分開発元を見れば書いてあるはず。 例 AmazonLinux:openssl-1.0.1e-37.66.amzn1 CentOS:openssl-1.0.1e-16.el6_5.7 Mac Mac標準のopenssl(10.9.2) 何もして
秘密鍵、証明書、CSRの整合性のチェック - Qiita
ApacheのSSL更新等で秘密鍵や証明書を組み込む場合、 整合性がとれないとエラーとなりApacheが落ちてしまう。 実は秘密鍵や証明書はApacheに入れる前に整合性チェックを行う事ができる 秘密鍵の内容を確認
Amazon EC2+EBSにSubversion+Redmine環境を作ってみる | 毒舌プランナーの異論持論
先日、こんなことをしたんですが。 Amazon EC2+EBSにSubversionを突っ込んでみた 後になって「BitNami」なんてものがあると知りましてね。 というかRedmineについて調べてたら、このBitNamiっていうAWS Marcketにあるイメージの中に入ってるよってね。 で、どーもSubversionも入ってるっぽいわけですよね、これね。 そうだよね、Redmine使うっつったら、SVNとかMySQLあたりは普通入ってるよね。 おいらびっくり。 というわけで、今日は先日やった作業を全部破棄して、こっちに乗り換えてみようと思います。 破壊の先に創造ありって言うじゃん! 俺が創造してるわけじゃないけどね!! Redmine付きEC2インスタンスの作成 まずはここからEC2インスタンス作ります。 http://bitnami.com/stack/redmine/cloud/
ApacheでOpenSSLのセキュリティを強化する - Qiita
セキュリティランクの確認 OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。 https://sslcheck.globalsign.com/ja/ apacheの設定 /etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。 $ sudo vim /etc/httpd/conf.d/ssl.conf SSLHonorCipherOrder ON ##追記 SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5 ##追記 [許可されてる暗号方式の確認方法] $ openssl ciphers -v [制限したときの暗号方式の確認] $ ope
SSLCipherSuite を変更し perfect forward secrecy にも対応してみる - さくらVPS CentOS 6.5 - IMPOV::In My Point Of View
SSLサーバー証明書を購入し設置を行ったので、この機会にSSLまわりの設定を見なおしてみることにした。 (2014/10/21追記:POODLE attack に対応するため、SSLProtocol に -SSLv3 を追加。) (2016/03/03追記:古い記事なので今風のCipherSuiteについて、文末に追記しました。) 現状の確認 まずはQualys SSL Labs SSL Server Testというサイトへ行って、現状をチェック。 最近チェックされたドメインリストに名前が出てしまうので、ドメイン名入力欄の下にあるチェックボックスをオンにしてリスト掲載を拒否する。 数分待つと結果が表示される。 Beast攻撃がどうだとか、暗号強度が低いだとか、いろいろと指摘されてしまう。 また、ページの下の方へ行くと、メジャーなブラウザとの接続確認も可能だ。 設定の変更 SSLまわりの知識
Heartbleed OpenSSL脆弱性 対処 on Ubuntu - Qiita
状況など詳しくは Heartbleed ~ OpenSSL脆弱性 (CVE-2014-0160) まとめ - Qiita を参照。 ここには Ubuntu に特化して対処方法を纏める。Debian もほぼ同じでしたが。 対処と確認 以下の通り、更新のリストを取得し(update)、更新を実行し(upgrade)、再起動し(shutdown -r)、更新を確認(dpkg | grep)すればOK。 openssl 以外も一括で更新するコマンドになっているので、openssl 関係だけ更新したければ、2行目( upgrade )を sudo apt-get install openssl libssl1.0.0 に変更して下さい。
更新:OpenSSL の脆弱性対策について(CVE-2014-0160):IPA 独立行政法人 情報処理推進機構
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。 この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。 一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます: 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合) 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合) 既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。 脆弱性の解消 The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL証明書・秘密鍵・CSRファイルのペア確認方法 - Qiita