タグ

SSLとsecurityに関するitboyのブックマーク (26)

  • https://jp.techcrunch.com/2021/09/25/2021-09-21-lets-encrypt-root-expiry/

    https://jp.techcrunch.com/2021/09/25/2021-09-21-lets-encrypt-root-expiry/
  • Chromeで信頼されなくなるSymantec発行のSSL証明書かどうか判定・確認する方法

    SSL証明書が「信頼されない」とHTTPSサイト表示時にエラーが生じる 最初に「SSL証明書が信頼されない」とはどういうことか説明しよう。 Chromeに限らずWebブラウザは、HTTPSのWebサイトに接続する際、SSL証明書が正当なものかどうか検証する。もし有効期限や共通名(コモンネーム)、発行元(認証局)などに何かしら異常が見つかった場合、アドレスバー左端のアイコンやブラウザペインにその旨のエラーを表示してエンドユーザーに知らせる。 この状態ではHTTPSによる暗号化は信頼できず、通信中に盗聴や改ざん、なりすましの被害を受ける危険がある。 つまり、近い将来、Symantecの認証局から発行されたSSL証明書を組み込んであるWebサイトに対し、Chromeで閲覧したエンドユーザーにはこうしたエラーが表示されるようになる、ということだ。Webサイト運営・管理側としては何としても避けるべき

    Chromeで信頼されなくなるSymantec発行のSSL証明書かどうか判定・確認する方法
  • Symantec証明書の失効迫る GoogleがWebサイト管理者に対応呼びかけ

    VeriSignやGeoTrust、RapidSSLなどSymatec傘下の認証局が発行した証明書は、Chrome 66から段階的に無効化される。 米Googleは3月7日、同社が「信頼できない」と判断したSymantec傘下の認証局の証明書について、WebブラウザのChrome 66から段階的に失効させる措置について改めて説明した。失効対象の証明書をまだ使っているWebサイトでは、できるだけ早く対応するよう促している。 失効の対象となるのは、Symantec傘下の認証局(CA)のThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどが発行したSSL/TLS証明書。こうした証明書の入れ替えを行っていないWebサイトは、Chromeを含む主要ブラウザの更新版で、エラー警告が表示されるようになる。 2016年6月1日より前に発行された証明書については、Chrom

    Symantec証明書の失効迫る GoogleがWebサイト管理者に対応呼びかけ
  • グーグル、シマンテックが発行したTLS証明書に不信感

    Googleの「Chrome」チームは、Symantecが発行しているTransport Layer Security(TLS)証明書に対する信頼度を弱めることを提案した。この措置は段階的に行い、2018年初めには、Symantecとその傘下の認証局が発行する証明書のうち、「Google Chrome 64」で信頼されるのは有効期限が279日以内の証明書のみにするというものだ。 GoogleエンジニアであるRyan Sleevi氏は、「Blink」開発チームのメーリングリストへの投稿の中で、Symantecによる「数々の不具合」を受けて、Googleはユーザーが重大なリスクに直面すると考えていると述べた。 Sleevi氏は次のように指摘している。「この調査を通じて、『Google Chrome』チームのメンバーが問い合わせるたびに、Symantecが説明する不正発行の規模は大きくなってい

    グーグル、シマンテックが発行したTLS証明書に不信感
  • TechCrunch | Startup and Technology News

    TechCrunch Daily News Every weekday and Sunday, you can get the best of TechCrunch’s coverage. Startups Weekly Startups are the core of TechCrunch, so get our best coverage delivered weekly.

    TechCrunch | Startup and Technology News
  • HTTPS 化する Web をどう考えるか - Block Rockin’ Codes

    Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である

  • SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か

    Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-03-04 16:45 1990年代の初めには名案のように感じられたのかもしれない。Secure-Socket Layer(SSL)という暗号化技術が産声を上げた当時、米国家安全保障局(NSA)は外国でやり取りされる「セキュア」なウェブトラフィックの内容を確実に傍受したいと考えていた。このためNSAは「Netscape Navigator」のインターナショナル版には40ビット暗号を使用し、より安全な128ビット暗号は米国版でのみ使用するようNetscapeを説き伏せた。その後、2000年1月に暗号輸出管理規則が改正され、どのようなブラウザでもよりセキュアなSSLを使用できるようになった。しかし、旧来のセキュアでないコードは、15年が経過した今でも使用されており、わ

    SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か
  • 「常時SSL」がセキュリティ対策の抜け穴に、対策を急げ

    最近、急速に「常時SSL(HTTPS)化=常時暗号化」が広がっている。WebサイトとWebブラウザー間の通信を常時暗号化することで通信の安全性を高めようというものだ。 通信の盗聴を防げる一方で、SSLを駆使した巧妙なサイバー攻撃の“隠れみの”に悪用されるリスクがある。企業などの情報システム部門にとってはこれまでとは異なるセキュリティ対策を迫られる。 常時SSLとは、通信を常時暗号化することを指す。ログインを伴う多くのWebサイトでは、部分的にSSLを採用している。例えばITproの場合、記事閲覧時の通信トラフィックは平文(非SSL、HTTP)で流れる(写真1)。

    「常時SSL」がセキュリティ対策の抜け穴に、対策を急げ
  • 5分でわかる正しい Web サイト常時 SSL 化のための基礎知識

    Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL

    5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
    itboy
    itboy 2015/01/22
    企業内から見ればSSLサイトが増えることで社員が何をしているかわからなくなるみたいな問題があるみたいだけど。
  • TechCrunch | Startup and Technology News

    TechCrunch Daily News Every weekday and Sunday, you can get the best of TechCrunch’s coverage. Startups Weekly Startups are the core of TechCrunch, so get our best coverage delivered weekly.

    TechCrunch | Startup and Technology News
  • GoogleがSSL 3.0のサポートを廃止

    Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。このでは、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...

    GoogleがSSL 3.0のサポートを廃止
  • SSL 3.0の脆弱性「POODLE」について知っておくべきこと - ZDNet Japan

    2014年はサーバでサポートされる技術セキュリティ問題がいくつも発覚しているが、その最新のものが、SSL 3.0の深刻な脆弱性「POODLE」だ。POODLE(または「CVE-2014-3556」として表される)は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を公表したGoogleの研究者のBodo Möller氏とThai Duong氏、およびKrzysztof Kotowicz氏によって命名された。「POODLE」が発見されたことを受けて、システムオペレーターはサーバ側でSSL 3.0のサポートを停止しており、古くなった同プロトコルだけをサポートするシステムは切り捨てられようとしている。 POODLEはブラウザが暗号化を処理する仕組みに存在する脆弱性だ。攻撃者はSSL 3.0による通信を行うように仕向けることで、

    SSL 3.0の脆弱性「POODLE」について知っておくべきこと - ZDNet Japan
  • 更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構

    SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。 ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。 サーバ管理者および利用者は対策の要否を検討し、必要に応じて後述の対策を実施してください。 図:脆弱性を悪用した攻撃のイメージ サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できます。 なお、SSL 3.0 を無効化することで次の影響を受ける可能性があります。 サーバ側で SSL 3.0 を無効にした場合 一部のクライアントから接続ができなくなる可能性があります。 クライアント側で S

    更新:SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構
  • グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明

    Googleセキュリティチームは米国時間10月14日、Secure Sockets Layer(SSL) 3.0に深刻なセキュリティ脆弱性があることを明らかにした。SSL 3.0はかなり前に導入された暗号化プロトコルでありながら、依然として多く使用されている。 同チームのBodo Möller氏によると、「この脆弱性により、セキュアな接続のプレーンテキストがネットワーク攻撃者によって割り出される恐れがある」という。 SSL 3.0はTLS 1.0、TLS 1.1、TLS 1.2に引き継がれてきたが、TLS実装の多くがレガシーシステムに対応し、ユーザーエクスペリエンスを円滑化するために、SSL 3.0との下位互換性を維持している。 通常、このセキュリティプロトコルのハンドシェークは、認証されたバージョンのネゴシエーションを行う。このようにして、クライアントとサーバの両方に共通する最新のプロ

    グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明
  • OpenSSL #ccsinjection Vulnerability

    [English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見

    OpenSSL #ccsinjection Vulnerability
  • OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず

    対策を済ませたはずのWebサイトの中に、盗まれたかもしれない秘密鍵を変更せずに新しい証明書に使っているWebサイトがあることが分かった。 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に重大な脆弱性が見つかってから1カ月。影響を受けるWebサイトが対応に追われる中で、SSL証明書を入れ替えて古い証明書を失効させておきながら、秘密鍵を変更せずに新しい証明書にも使ってしまうという「致命的なミス」を犯しているWebサイトがあることが分かったと、セキュリティ企業の英Netcraftが5月9日のブログで報告した。 「Heartbleed」と呼ばれる今回の脆弱性では、SSL暗号化通信に利用している秘密鍵やユーザーの情報など、重大な情報が流出する恐れがある。しかも攻撃を受けたとしても、痕跡は残りにくいという。 Netcraftによると、この脆弱性の影響を受けたWebサイトのうち、証明書

    OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず
    itboy
    itboy 2014/05/13
    あらら・・・
  • Important OpenSSL Security Update: CVE-2014-0160 (Heartbleed) - Red Hat Customer Portal

    Important OpenSSL Security Update: CVE-2014-0160 (Heartbleed) - Red Hat Customer Portal
    itboy
    itboy 2014/04/11
    RedHat5系、6.4以前は影響を受けてないっぽい。個別に導入している場合は当然ダメだけど。
  • OpenSSLの脆弱性で想定されるリスク - めもおきば

    JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ

    OpenSSLの脆弱性で想定されるリスク - めもおきば
  • 無料のSSL証明書StartSSLを活用する - Qiita

    背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに人確認のメールが届くので、受信したメールのa

    無料のSSL証明書StartSSLを活用する - Qiita
  • 研究者が新たなTLS/SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能

    新攻撃ツールの「CRIME」は、圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまうという。 アルゼンチンで9月19日から開かれるセキュリティカンファレンス「ekoparty」で、2人のセキュリティ研究者がTLS/SSLを攻撃する新ツール「CRIME」の発表を予定している。米セキュリティ機関のSANS Internet Storm Centerがブログで伝えた。 SANSの13日のブログによると、同ツールは圧縮プロトコル「SPDY」の実装に関する脆弱性を突き、SSLで暗号化されたHTTPSセッションを乗っ取ることができてしまう。この攻撃は、WebサイトとWebブラウザの両方がSPDYをサポートしている場合にのみ通用するようだとしている。 SPDYをサポートしているのは、主要ブラウザではMozillaのFirefoxとGo

    研究者が新たなTLS/SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能