Strong SSL Security on nginx Published: 14-06-2015 | Last update: 27-04-2019 | Author: Remy van Elst | Text only version of this article ❗ This post is over five years old. It may no longer be up to date. Opinions may have changed. This tutorial shows you how to set up strong SSL security on the nginx webserver. We do this by updating OpenSSL to the latest version to mitigate attacks like Heartble
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
サーバにSSLの設定を適用する上で、設定すべき項目は多いし、間違えばセキュリティ的にまずいことになってしまう、あるいは正常に接続できないなど、なかなかややこしいものです。 幸い、そのようなSSLの設定を検証するサービスがあります。 SSL Labsは、Qualysというセキュリティ会社が運営している、SSL関連の便利サイトです。右上にある「Test Your server」からサーバのテストモードに入れます。 なお、具体例がないとわかりづらいかと思いますので、ここから先はqiita.comをチェックした結果を見ていくことにしましょう。 サーバのチェック 同じドメインでいくつかサーバがある場合、まずはサーバを選択する画面が出ます(評価はサーバごとに行います)。サーバを選べば、通信を行って、SSLの設定を評価していきます。 総合評価 qiita.comでは「A」ですが、「A+」「A」「A-」「
■「CVE-2014-0160」をnmapスクリプトを使ってローカル環境でテストする 「CVE-2014-0160.」の脆弱性の対処について(Debian Wheezy) http://labunix.hateblo.jp/entry/20140408/1396963029 How to test if your OpenSSL heartbleeds https://blog.ipredator.se/2014/04/how-to-test-if-your-openssl-heartbleeds.html ■外部Webサービスを使わずにテストする方法。 「ssltest.py」ベースのnmapスクリプトを準備 「ssl-heartbleed.nse」はSVNからではない点に注意。 $ cd /usr/share/nmap/scripts && \ sudo wget "http://se
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く