オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まつてゐる
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
暗号の2010年問題
「暗号の2010年問題」とは,暗号技術の寿命が尽きることで起こる問題のこと。米国政府の使用する暗号技術を決めている米国国立標準技術研究所(NIST)が,弱い暗号技術の使用を2010年に停止する方針を発表したことがきっかけで注目を集めている(図1)。 現在使われている暗号技術は,1)暗号鍵が十分長い,2)解読の近道がない──ようにして,現実的な時間で解けなくすることで安全性を確保している。しかし,暗号の解読にかかる時間は,コンピュータの性能向上によって短くなる。また,暗号技術に欠陥が見つかり,解読の近道が見つかってしまうこともある。例えば鍵の長さ112ビットの3DESは,条件によっては56ビットの鍵と同じ程度の強度しかないことがわかっている。世界最高速のコンピュータなら解読できてしまう可能性がある。 NISTの方針によって使用停止になる暗号技術は,「ぜい弱性のない共通鍵暗号方式の鍵の長さに換
SSLの脆弱性でTwitterのパスワード入手に成功
研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
Simple Repeater `stone'
stone は、アプリケーションレベルの TCP & UDP リピーターです。 ファイアウォールの内から外へ、あるいは外から内へ、TCP あるいは UDP を中継します。 stone には以下のような特徴があります。 1. Win32 に対応している 以前は UNIX マシンで構成されることが多かったファイアウォールですが、 最近は WindowsNT が使われるケースが増えてきました。 stone は WindowsNT/2000/XP あるいは Windows95/98/ME 上で、 手軽に実行することができます。 WindowsNT/2000/XP では NT サービスとして インストールすることも可能です。 もちろん、Linux, FreeBSD, BSD/OS, SunOS, Solaris, HP-UX などの UNIX マシンでも使うことができます。 2. 単純 わずか 10
複数のサブドメインでSSLを共用して使いたいと思っております。…
複数のサブドメインでSSLを共用して使いたいと思っております。 当初はワイルドカードのSSLを使用する予定でしたが、ポート指定なしでアクセスするには、サブドメインごとにIPアドレスが必要とわかり断念しました。 そこで、レンタルサーバーの共用SSLのように、 一つのSSLを複数のサブドメインで利用する方法を探しております。 例えば、サブドメイン http://subdomain.hoge.com/page.php でSSL通信したい場合は、 https://www.hoge.com/xxx/page.php とリンクを置き換えて、www.hoge.com のSSLを用いてSSL通信するという具合です。 レンタルサーバーではよくある設定なのですが、 自分のサーバーに設定する方法がわかりません。 環境は、OSはRed Hat Enterprise Linux 4です。 どなたか設定方法や、参考に
バーチャルドメインでSSLサーバを運用する - ぬかるむ日々
仕事がらみでバーチャルドメイン環境下でSSLを利用する必要が出てきたのでメモ。 前提 安価で 名前ベースのバーチャルホスト つまりは「www.example.com」と「member.example.com」でどちらもSSLを利用したい場合、ドメインごとに証明書とっちゃうと値段が倍になるし管理もややこしいので、証明書は1契約でサブドメインはなんでも良いようにやりましょうという話です。 Apache+mod_sslのインストール この辺はややこしくしません。yumやapt-getとかでさっくりインストール。とりあえず環境はCentOSなのでyumで。 (以下環境がCentOSの場合の話) OpenSSLでキーと証明書の作成 $ sudo -s # cd /etc/httpd/conf # openssl genrsa -des3 -out ssl.key/[ドメイン名].key 1024 p
[Apache-Users 2708] Re: SSLでバーチャルホスト
Kunihiro Tanaka tanaka @ apache.jp 2003年 5月 2日 (金) 18:40:01 JST 前の記事 [Apache-Users 2707] Re: SSLでバーチャルホスト 次の記事 [Apache-Users 2716] Re: SSLでバーチャルホスト 記事の並び順: [ 日付 ] [ スレッド ] [ 件名 ] [ 著者 ] たなかです。 # ごぶさたです。笹部さん。 短く説明すると・・。 ・ネームベースのバーチャルホストは、HTTPヘッダにある Host という項目を 元にVirtualHostを判別します。 ・VirtualHost毎(ドメイン毎)に設定する、個別のSSL鍵を利用します。 ・SSLでは、HTTPヘッダも含めた全てのメッセージを暗号化します。 ・暗号化したデータを復号化するには、鍵が必要です。 鍵がないと復号できないのに、復号
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
このURLのページは表示することが出来ませんでした。 IP分散サーバーならIQサーバー|クラスCの完全分散が月額139円~
仮想ホストの設定値