TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
Lenovoが最悪クラップウェア「Superfish」で失った信用の大きさ - THE ZERO/ONE
新しいPCを購入し、セットアップを終えてOSが起動したあと、頼んでもいないプログラムが大量にインストールされているのを見て、嫌な気分を味わったことはないだろうか。セキュリティソフトの試用版あたりはまだしも、見栄えも使い勝手も悪いランチャー、どうでもいいショッピングアプリ、つまらないゲームや体験版、初心者向けと称するがほぼ初心者にも役に立たない解説アプリの数々……。愚にも付かない代物がデスクトップやスタート画面を埋め尽くし、ディスク容量や場合によってはメモリも無駄に消費している。この手の無駄なプリインストールソフトウェアは「crapware(ごみソフト)」「bloatware(水増しソフト)」などと呼ばれる。メーカーによっては、個人向けだけでなく法人向けモデルにまでクラップウェアが入っていることがあり(さすがに個人向けよりは少ないが)、うんざりさせられる。 だが、うんざりする程度ならまだ良か
SNIで1台のサーバ上に複数のSSLサイトを運用 – 前編 | さくらのナレッジ
ご無沙汰しております。細羽です。 昨年、AndroidにおけるSNI対応状況という記事で、SSL/TLSの拡張仕様であるSNI(Server Name Indication)について触れました。 少しニッチなテーマだと思っていましたが、つい先日、さくらのレンタルサーバでSNI SSLを提供開始というプレスリリースが発表されました。広いサービスでSSL/TLS導入への需要が高まっている今、このような事例は今後増えていくものと考えられます。 そこで本記事では、重要度が高まっているSNIについて、その技術の概要を改めて理解し、実際の運用に役立てられるように整理をしたいと思います。 知識の整理を目的にした前編と、実践を目的にした後編の2部構成でお届けします。 以下が前編の内容です。 SNIで何が出来るようになるのか SNIで複数ドメインが運用可能になるまで SNIが重要になりつつある背景 SSL運
SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-03-04 16:45 1990年代の初めには名案のように感じられたのかもしれない。Secure-Socket Layer(SSL)という暗号化技術が産声を上げた当時、米国家安全保障局(NSA)は外国でやり取りされる「セキュア」なウェブトラフィックの内容を確実に傍受したいと考えていた。このためNSAは「Netscape Navigator」のインターナショナル版には40ビット暗号を使用し、より安全な128ビット暗号は米国版でのみ使用するようNetscapeを説き伏せた。その後、2000年1月に暗号輸出管理規則が改正され、どのようなブラウザでもよりセキュアなSSLを使用できるようになった。しかし、旧来のセキュアでないコードは、15年が経過した今でも使用されており、わ
第23回プログラミング講座「暗号方式」 : IT速報
1: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:51:59.16 ID:eFoRVj/r0.net みなさん、こんばんは 第23回となる今回は「暗号方式」について勉強していきましょう 2: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:52:18.70 ID:qNE86U7G0.net 待ってました! 3: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:52:55.61 ID:sTuQb+HO0.net 暗号方式ってなに? 5: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:53:43.92 ID:WyuU5XDW0.net 2chでいうトリップが暗号方式だよ 4: 以下、\(^o^)/でVIPがお送りします 2015/02/28(土) 22:53:30.47
改めて知ろう、SSLサーバー証明書とは?(第三回) | さくらのナレッジ
こんにちは、サイバートラストの坂本です。今年もよろしくお願いします。 第一回と第二回では、SSL サーバー証明書の役割である通信の暗号化や Web サイトの認証について説明しました。 今回は、SSL サーバー証明書の役割ではなく、SSL サーバー証明書が関係する動向を紹介します。動向といっても、ビジネス、技術、規制など多種多様ありますが、本記事では、SSL の通信で使われている「SHA-1 の規制」と「SHA-1 に関する主要ブラウザの仕様」についてになります。 SHA? Secure Hash Algorithm (セキュア・ハッシュ・アルゴリズム)の略称です。一般に「シャー」と呼ばれますが、「エス・エイチ・エー」と呼ばれることもあります。例えば SHA-1 は「シャーワン」です。 SHA は「ハッシュ」と呼ばれる関数の代表例でして、SSL サーバー証明書に使われています。 何のために?
SSL証明書をSHA–1からSHA–2に更新する際にはご注意を! | さくらのナレッジ
現在SSL証明書の署名アルゴリズムがSHA–1からSHA–2へと変更になる過渡期となっています。今後はSSL証明書の新規取得や更新を行う際にはSHA–2の証明書を取得することになると思いますが、いつも通りの慣れた作業と思っていると、思わぬところでハマるかも知れません。 今回は実際に更新作業をした経験を踏まえて取得/更新作業の注意点について簡単にまとめてみました。 そもそもなぜSHA–2に移行する必要があるのか? 署名アルゴリズムがSHA–1の証明書は非推奨となり、ゆくゆくは廃止となる流れとなっています。基本的にSHA–1の証明書は2017年1月1日以降使えなくなると考えてよいでしょう。そして2016年12月31日までにSHA–2に移行する必要があります。 詳細はここで説明すると長くなりますので、次のようなSSL証明書の発行元のサイトの解説を参照してください。 SHA–1証明書の受付終了とS
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
改めて知ろう、SSLサーバー証明書とは?(第二回) | さくらのナレッジ
こんにちは、サイバートラストの坂本です。前回に続き、入門編として、SSL サーバー証明書について説明致します。 SSLサーバー証明書の違い 前回の記事では、SSL サーバー証明書に関する動向は、今年も来年も目が離せないといった状況をふまえ、改めてSSL を理解しておこうという目的のため、証明書の役割である暗号化と認証について説明しました。また、その記事のなかで、認証のレベルには違いがあることを言及しました。 SSL サーバー証明書の種類は 3 つに分けられるのですが、それは、暗号の強さ(どれだけ破られにくいか)で分類されるのでなく、どこまで詳しく証明書の名義の人(組織)を調べるかという認証のレベルによって分けられるのです。 今回は、この認証の違いについて説明させてください。 DV、OV、EV 認証レベルの違いにより、証明書の呼び方が異なります。業界では、Domain Validation
細かすぎて伝わらないSSL/TLS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
HTTP/2から見えるTLS事情 - あどけない話
これは HTTP/2 アドベントカレンダー19日目の記事です。 この記事はたくさんの資料を読んだ上で書きましたが、間違いとか勘違いとかがあるかもしれません。もしあれば、指摘していただけると幸いです。 実質的に必須となったTLS HTTP/2は、HTTP/1.1と同じく、暗号化なし/ありのポートとして、80と443を使います。そのため、通信開始時にHTTP/1.1とHTTP/2をネゴシエーションするための仕組みが、HTTP/2で定められています。 このように仕様としては暗号化なしのHTTP/2が定義されていますが、Firefox や Chrome が TLS を要求するために、実質的は暗号化ありが必須となっています。これは、米国の監視プログラムPRISMに代表される広域監視(pervasive surveillance)に対抗するために、IETFがさまざまな通信にプライバシの強化を要求する方
複数のWebサーバでSSLセッションキャッシュを共有してSSL処理を高速化(Apache + mod_ssl + mod_socache_memcache) - 元RX-7乗りの適当な日々
HTTPS(SSL利用)サイトがSEO的に優遇されるトレンドで、世間的にもHTTPS接続でサイト運用するサービスが増えてきています。 これが、ハイトラフィックサイトになってくると、このフロントエンドでSSL処理させることが負荷的にもなかなか辛いのです。 で、Apache 2.3以降では、Shared Object Cache Providerとして、memcachedが選択できるようになっています。 この仕組みを利用して、Apacheとmemcachedを並べることで、各サーバでユーザのSSL Session Cacheを共有しながらHTTPSリクエストを負荷分散できる構成を作ってみました。 WebサーバでSSLオフロード 常時SSLを利用したWebサイトを運用するために、SSLアクセラレータといったアプライアンス製品だとか、ソフトウェアだとApacheやNginxのSSLモジュールを使う
『証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」』は何に使え、何に使えないのか - いろいろやってみるにっき
やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunchだが、ブコメ欄で「フィッシングサイトが見分けられなくなる」と勘違いしている向きがあるようなので、ちょっと書いておく。 このLet's Encryptだが、Let’s Encrypt: Delivering SSL/TLS Everywhereに説明が書かれている。そもそも上のTechCrunchの記事ではLet's Encryptがどういうものか分からない。この記事では何ができて何ができないかを書いていないし。 TechCrunchの記事はオレが見た時点(2014/11/20 5:00)ですごいブクマ数(792ユーザ)なんだけど、本体の説明のブクマ数は4ユーザ、オレがブックマークしたので5ユーザである。ちょっと調べてからコメントすればいいのに。 下記のほう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「常時SSL」がセキュリティ対策の抜け穴に、対策を急げ
証明書を無料で発行、HTTPSの導入を支援する「Let's Encrypt」2015年夏開始 EFFやMozillaなどが参加
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
