Web サービスの完全 HTTPS 化 - クックパッド開発者ブログ
インフラストラクチャー部長の星 (@kani_b) です。 2017年1月5日をもって、クックパッド における全ページで HTTPS が使われるようになりました。 完全 HTTPS 化をするにあたり、その理由や具体的な進め方について紹介します。 以前 SRE Tech Talks #2 にて一部発表した内容も含みますので、ご興味のある方はあわせてスライドもご覧ください。 完全 HTTPS 化に踏み切った理由 以前のクックパッドは、ログインや登録情報の参照など、いわゆる個人情報や認証情報を扱う箇所のみに HTTPS が使われていました。 このように「必要な箇所にのみ HTTPS を使う」構成は、ある程度歴史のある Web サービスにおいてよく使われている構成です。 この状態から、完全 HTTPS 化に踏み切った理由を説明します。 サービスをよりセキュアにするため HTTPS の利用を考えるに
TLS1.3だとハンドシェイクがどれくらい早くなるか測定した | GREE Engineers' Blog
こんにちはインフラの後藤です。 今回はTLS1.3を実環境で試してみました。 TLS1.3はTLSのメジャーバージョンアップとも言われるように、様々な改善が含まれています。 例えば、以前「TLS1.3のハンドシェイクがもう来てる」で書いたように、TLS1.3ではハンドシェイク時のパケットの往復回数が減っており、より早くコネクションを確立できます。 すでに、ブラウザや暗号ライブラリはTLS1.3に対応してきておりますので、実環境で具体的にどれくらいコネクションの確立が早くなるのか確認してみました。 TLS1.3 バージョンネゴシエーションとネゴシエーション 測定の前に今回利用したTLS1.3 draftバージョンについて補足します。 TLS1.3は draft-28 版が最新のバージョンです。こちらが文章上の修正を経て将来的にRFCとなります。 TLS1.3はファイアウォール等の中間装置の不
mkcert - ローカル開発でもSSL/TLSを MOONGIFT
セキュリティ対策もあって、インターネット上のサーバではSSL/TLSを使って公開するのが当たり前になっています。しかし開発時にはローカルでHTTPを使っていたりしないでしょうか。そのため、設定などを切り替えたりして開発せざるを得ず、さらに公開時には不具合に繋がったりします。 そこで使ってみて欲しいのがmkcertです。ローカル開発環境でもHTTPSを使えるようにするソフトウェアです。 mkcertの使い方 まずインストールを使って証明書をインストールします。 $ mkcert -install 次にドメインを指定して証明書を生成します。 $ mkcert example.com '*.example.org' myapp.dev localhost 127.0.0.1 ::1 そうするとWebブラウザからHTTPS経由でアクセスできます。 mkcertで生成した証明書はApacheやngi
Introducing managed SSL for Google App Engine | Google Cloud Blog
We’re excited to announce the beta release of managed SSL certificates at no charge for applications built on Google App Engine. This service automatically encrypts server-to-client communication — an essential part of safeguarding sensitive information over the web. Manually managing SSL certificates to ensure a secure connection is a time consuming process, and GCP makes it easy for customers b
Google、ルート証明書発行の独自インフラを構築
ルート認証局はGlobalSign R2とR4を取得した。これまでは、ルート証明書を製品に組み込んで、そうした製品に関連したバージョンが広範に導入されるのを待つ時間がかかっていたが、ルート認証局を取得したことで証明書をタイミング良く発行できるようになると見込んでいる。 下位認証局GIAG2の運営は今後も続ける方針で、ルート認証局の取得やTrust Servicesを通じて新しい独立したインフラへの移行を目指す。 今後はGoogle製品に接続する製品を開発する場合、Google Trust Servicesが運営するルート証明書が必要になる。ただしGoogleは独自のルート認証局を運営しながら、サードパーティーが運営するルートの下で下位認証局を運営する場合もあるとしている。 証明書を巡っては、認証局による不正な証明書の発行が発覚して主要ブラウザが対応を迫られたり、米Symantecの認証局が
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラド オープンソース
OpenBSDがOpenSSLの大掃除に着手しています(slashdot)。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。 OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそう
Heartbleed bug による秘密鍵漏洩の現実性について – IIJ Security Diary
本稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2
無料のSSL証明書StartSSLを活用する - Qiita
背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに本人確認のメールが届くので、受信したメールのa
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
[01.13] Ajaxでも暗号化通信。「aSSL」β3が公開: Recently Ajax
本日もこんな時間の更新です。 今日はちょっとニュース少なめ。 aSSLという、暗号化通信技術のβ3がリリースされたそうです。 この技術は「Ajax Secure Service Layer」の略で、Webでは一般的な「SSL」通信をAjax通信などでも実現するための技術。 ご存じの通り、通常Web上で通信を行う場合には内容が裸の状態で送受信されており、いつ盗聴されてもおかしくない状態です。 そこで、ショッピングサイトなどではクレジットカード番号を入力する際には「https」から始まるURLを使って「SSL」通信を行います。 Ajaxなどでのプログラムも、当然ながら同様に重要な情報は暗号化して送受信しなければなりません。しかし、SSLの通信は同時にドメインの証明などを行ったりするため、その証明書の取得などの手続きが意外と煩雑。 そこで、そんなSSL通信の暗号化部分だけを提供するのが、こ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PayPalにおけるNode.jsのSSLパフォーマンス改善
SSSSLIDE