ApacheのSSLCipherSuiteにRC4を設定すべきではない - Qiita
Apacheに限らないが、暗号化方式としてRC4暗号が最優先に設定されていることがままある。 これは必ずしもいいとは言えない・・・ので、その理由をまとめてみた。 そもそもRC4がよく設定されているのには理由がある。 過去BEASTという攻撃方法が発見されCBC暗号(Cipher Block Chaining:一定の長さごとに暗号化を行う方式)は全部危ない!?という感じになった。そこで登場したのがストリーム暗号の代表格RC4であり、これに設定すればOK、という流れが今にも至っているのだ。 BEAST攻撃について ただ当時とは状況が変わり、RC4を設定するのが最適とは言えなくなってきた。 理由1 RC4は非推奨となった まず有権者に訴えたいのは、現在RC4は脆弱性が発見され、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」にて推奨されない運用監視暗号の対象に
SSLCipherSuite
Apache の mod_ssl 関連の設定で SSLCipherSuite ってのがあります。 ググりました。 akr流(2006-02-04)が最初にひっかかって 知りたいこと大体書いてあるっていう素敵 blog でした。 でも良い子は mod_ssl - Apache HTTP Server も見ないといけませんね。 暗号の基礎の勉強なら新版暗号技術入門がとっても分かり易いんですが 運用となると Apacheハンドブックとか OpenSSL とか読んで勉強すべきでしょうか...。 これは SSL/TLS 張るときに使う暗号関係のアルゴリズムのリストを指定しまして、 openssl の ciphers ってコマンドで見れます。 デフォルトだと $ openssl ciphers -v | sort AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128)
SSL/TLSでBEASTを恐れてRC4を優先するのは危ない - Tetsu=TaLowの雑記(はてブロ版)
前職のお仕事で電子政府推奨暗号リストの改定作業を行う暗号技術検討会の事務局をやってたのですが、それ関係の話。3/1付けで電子政府推奨暗号リストあらためCRYPTREC暗号リストが公表されたのですが… 電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)に対する意見募集の結果 今回の改定では、電子政府で広く使われているがすでに危殆化が始まっているものを「運用監視暗号リスト」にするということが行われたのですが、今回その扱いにされた暗号のうち代表的なものがストリーム暗号RC4です。この件、もう少し大きな話題になってもいいと思うのですが… 残った国産暗号はCamelliaとKCipher-2 他は消えたのではなく推奨候補暗号リストになった 今回のハイライトの一つはRC4の運用監視暗号リスト行きだと思うのだけど昨日のシンポジウムでは意外と話題にならなかったな / “1…”
SSL証明書作成 - 架空線 はてな避難所
SSL(Secure Socket Layer)はHTTPやPOP3などの通信を暗号化し、セキュアなネットワーク接続を提供する上で欠かせない仕組みだ。とくにUbuntu Server 9.10の標準メール配送エージェントであるDovecotはデフォルトの設定でプレーンテキストでのパスワード認証を禁止しており、事実上SSLは必須の機能となっている。 ところが、デフォルトで作成されるSSLサーバ証明書は、サーバのインストール時のホスト名で登録されており、かならずしも公開時のサーバー名とは一致しない。クライアントのアプリケーションによっては、証明書の情報とサーバーのFQDNが食い違うと毎回警告ダイアログを出す場合があるため、個人用途としても実用的とは言い難い。 自署名のサーバ証明書(いわゆる第四種オレオレ証明書)を作成するための便利なコマンドとして、openssl -signkeyオプションや、
第1回 同じSSLサーバー証明書でも、どこで購入するかで価格が違う! 価格差の秘密 | レンタルサーバー完全ガイド
SSLサーバー証明書をもっと安く手に入れて、さらなるコスト削減を図りたい。そんな悩みをズバリ解決します。 このコーナーは、SSLサーバー証明書のエキスパートであり「ドメインキーパー」ブランドで長年にわたり企業のネットビジネスを支えてきた株式会社ハイパーボックスが、証明書をかしこく活用する知識から普段では知ることのできない“SSL業界のウラ側”までを、毎回テーマを変えてお届けしていきます。 第1回のテーマは、購入価格決定のカラクリと、安くても、安心して利用できるSSLサーバー証明書の取得の知識を伝授します。 1枚からでもコスト削減可能 証明書を安く賢く買う方法 みなさんは、SSLサーバー証明書(以下証明書)を、どこで購入されていますか? おそらく、ベリサインやグローバルサインといった認証局から直接購入されている方が多いのではないでしょうか。しかし、証明書が購入できるのは認証局だけではあ
SSL integration with Devise How-To, Not Authenticating
I am using SSL Requirement to achieve the proper rediects with Devise. I am using custom devise controllers so I am able to drop in the ssl_required in them. Gemfile gem 'bartt-ssl_requirement', '1.2.7', :require => 'ssl_requirement' application_controller.rb class ApplicationController < ActionController::Base protect_from_forgery include ::SslRequirement I also customized the hostname for SSLReq
まこちの技術情報覚え書き Android2.2未満のWebViewでのSSL通信の問題
SSL通信を行う際、ルート証明書が確認出来ない場合、通常のブラウザの場合は証明書をインストールするかどうかの警告ダイアログが表示される。 このような信頼出来ないサイトとのSSL通信をWebView経由で行っている場合、ダイアログが表示されずブランクページが表示される。 これに対する対応方法としてFroyo(2.2)ではハンドリングするメソッドがWebViewClientに用意されているが、 2.2未満のWebkitではメソッドが用意されていない為、ハンドリングが不可能。 2.2未満でこれに対応する場合は、Webkitをカスタマイズ(というか2.2のWebViewClientで無理やり上書き)し、ハンドリング用のメソッドを用意するか、SSL通信のみIntent経由で通常のブラウザに処理を委譲する必要がある。 (局所的な情報なので他にも方法はあるかも) 今回は、Webkitをオーバライドして対
Rails3でSSL Requirementを使う - 130単位
no title Rails3でSSL対応可能にするライブラリです。forkされたもののようです。 Powは現時点ではSSLには対応していない*1ので、Passengerでローカルでの動作確認をしました。 環境 Mac OS X 10.6.7 Ruby on Rails 3.0.7 bartt-ssl_requirement 1.2.5 Apache 2.2.17 (MacPorts) Passenger 3.0.7 使いかた Gemfile gem 'bartt-ssl_requirement' これでbundle installによりインストールはされますが、動きません。 Routing Error uninitialized constant SslRequirement このようなエラーになります。正しい記述は以下です。 gem 'bartt-ssl_requirement', :
UbuntuでApache2+SSLしてみる - toguniの日記
http/httpsプロトコルにも対応したSubversionサーバーを立てたくて色々さわろうと考えた. 今回は取り合えず,https(オレオレ認証で)やってみる. Apache2のinstallとSSL apt-get install apache2 a2enmod ssl Apache2の再起動と443ポートの確認 /etc/init.d/apache2 restart nmap 自分 http://d.hatena.ne.jp/MIZUNO/20080906/1220718875さんを参考に,証明書と秘密鍵の発行 mkdir /etc/apache2/ssl make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/apache2/ssl/apache.pem http://www.logos.ic.i.u-tokyo.ac.jp/~s1s5
peslab [Ruby]Railsでhttpとhttps(SSL)
httpからhttpsのページへ遷移したりhttpsからhttpのページへ遷移したりしたいときありますよね。 Rails 作者の David Heinemeier Hansson さんのプラグイン 「ssl_requirement」 http://d.hatena.ne.jp/elm200/20070428/1177768143 使わせていただきました。 ありがたやー、ありがたや。 ほんとにシンプルですよねー。 SSLでリクエストしてほしいヤツ(ssl_required)がSSLじゃなかったらhttpsでリダイレクト。 SSLでリクエストしてほしくないヤツはSSLできたらhttpでリダイレクト。 どっちでもいいヤツ(ssl_allowed)はどっちでもいい。 でもあくまでこれはリダイレクトによる補正機能って気がしたので、ちゃんとURLは出しわけないとと思い、ヘルパーにこんなんしてみました。
2007-04-28
何がうれしいか Rails で WEBrick on SSL してみた。 基本は、ここみたいにやればいいのだが、もうちょっと標準の script/server コマンドに近いノリにしてみた。デフォルトのポートはなんとなく 3500 番にしてあるが、 % ruby script/webrick_ssl --port=3600 とすれば、3600番になるし、--daemon と指定すれば、デーモンとして起動する。ここらへんは、普通の server コマンドと同じ。 試した環境 Rails 1.2.3 Linux 2.4.27 i686 GNU/Linux Ruby 1.8.6 (たぶん Windows や Mac でも OK だろう) 動かし方 OpenSSL がなかったら入れる。(Debian なら % aptitude install openssl libssl0.9.7 libssl-
OpenSSL CSR, 証明書など確認コマンド - tech-memo@さかにゃ日記
[カテゴリ:others] 秘密鍵の内容を確認 openssl rsa -in key.pem -text CSRの内容を確認 openssl req -inform der -in req.der -text openssl req -in req.pem -text 証明書の内容を確認 openssl x509 -inform der -in cer.der -text openssl x509 -in cer.pem -text CRLの内容を確認 openssl crl -inform der -in crl.der -text openssl crl -in crl.pem -text
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
[Think IT] 第7回:Apache+SSL環境を構築しよう! (1/3)
こんにちは。ビーブレイクシステムズの木下です。前回はSSLのメカニズムについて解説しました。今回は、皆さんのApacheでSSLを利用する方法について解説します。 それでは、皆さんの環境にApache+SSL環境を構築しましょう。 Apacheをインストールされていない方は、「第2回:Apacheをインストールしてみるのは難しくない」から、「第5回:ApacheをWindowsへインストールするのだ!」を参照し、それぞれの環境に合わせてApacheをインストールしてください。 インストール時の注意点として、ソースインストールを行う方はconfigure時に、「# ./configure ?enable-SSL」としmod_sslを有効にしてください。また、Windowsの方はOpenSSL付きApacheインストーラでApacheをインストールしてください。
それ行けLinux~Apacheとmod_sslを使う~
今回、SSL通信を試したいと思い、Apache2にmod_sslを導入することにしました。 Apache2ではmod_sslが組み込まれているので、別途インストールする必要はないのですが、Apache2のコンパイルを行う際に、SSLを使用することを指定しておかなければなりません。 私のサーバーにもApache2はインストールされていますが、SSLを利用するためのオプションはつけずにコンパイルしていた為、再コンパイルする必要がありました。どうせコンパイルからするなら最新を使おうということで、2.0.47を使います。 現在のApache2にmod_sslが組み込まれているか確認したい場合は、以下のように行います。 mod_ssl.cが一覧になければ組み込まれていません、再コンパイルが必要になります。 [root conf]# /usr/local/apache2/bin/httpd -l Co
PHP による Web プログラミング
PHPによるWebプログラミング PHPとは PHPはWebページを動的に生成するためのプログラミング言語です。 この講座はHTMLを勉強してからお読みください。JavaScriptやAjaxもどうぞ。 初級講座 ここには書き込みできるページがいくつかありますが,海外から広告が大量に書き込まれるようになったので,ユーザ名とパスワードを設定しました。どちらも「ほげ」をローマ字で綴ったものです。 いま何時? 条件判断 サーバ変数 アクセス制御 アクセスカウンタ グラフィック版アクセスカウンタ 簡単なフォーム ファイルにアペンド 乱数 メールを送る(1) メールを送る(2) かんたんなアンケート かんたんな投票システム 受け付けフォーム クッキーとセッション管理 (クッキーを使っています) ファイルのロック(データベースを使えば不要) リダイレクト セキュリティ上の配慮 (おまけ)日本語ファイル
HOMMEZ公式オンラインショップ
HOMMEZ(オムズ)は男性の心と身体の健康を支援し、一人でも多くの人が子供を得る幸せや男性としての喜びを享受できる社会の実現を目指しています。男性の妊活、活力にまつわる情報や商品の力で性や妊活に悩む男性が効率的に納得感を持って活動できる機会を創出します。
Debian GNU/Linux(sarge) 自宅サーバの構築・運営
<更新記録> 2006/1/14:携帯電話用webメーラー(mobileimap) UP 2005/8/10:zphoto:Flash・フォトアルバム作成ツール UP 2005/6/19:Sargeの安定版化に伴いOSのインストールを書き直し 2005/6/4:セキュリティーツール:Nessus UP 2005/5/28:玄箱で遊ぶ:その他メモ ストリーミングサーバを追記 2005/5/22:玄箱で遊ぶ:その他メモ UP 2005/5/8:カウンタを付けました 2005/5/3:SSLクライアント認証 UP 2005/4/9:玄箱で遊ぶ:Woody→Sarge UP 2005/4/2:玄箱で遊ぶ:Debian化 UP 2005/3/26:ストリーミングサーバ UP 2005/3/20:ミラーリング(rsync) UP 2005/3/13:カーネル再構築(2.4→2
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
手動インストール(2.2.4) [HiTo!サポートサイト Tech.Info]
http://ash.jp/sec/env/mod_ssl.htm