Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
「Let's Encrypt」のサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるようにする。 インターネット上の通信を暗号化するTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行する認証局(CA)の「Let's Encrypt」が、MozillaやCisco Systemsといった大手のバックアップで創設された。 TLSを利用するためには、通信相手のサーバが本物であることを認証するための証明書をサーバ運用者が取得する必要がある。しかしこうした証明書は一般的には有料で、正しくインストールするのが難しく、アップデートにも手間がかかるとLet's Encryptは指摘する。 こうした問題を解決するため、Let's Encryptのサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるよう
ここは小さな水産加工品メーカー、パラダイス水産。ひょんなことから、自社サイトをSSL対応にする作業を丸投げされたカタクラくん。SSLサーバー証明書のことはよくわからないが、「さくらのSSL」からオンラインで申請/購入できることがわかったので、さっそくトライだ! (※この物語はフィクションです。さくらインターネット以外の実在する団体・人物とは一切関係ありません) ……翌 日…… 昨日は、SSLサーバー証明書の購入や設定の方法について調べるだけで力尽きてしまった。証明書の発行には少し日数がかかるようだし、今日こそは申請作業をやっておこう。 「さくらのSSL」と「さくらのレンタルサーバ」のサポートページの内容を突き合わせて読むと、僕の場合は次の順番で作業していけばいいようだ。 こうしてまとめてみると、うん、そんなには難しくなさそうだね。 さくらのSSLから申し込む証明書サービスは、サイバートラス
ここは東北某県にある小さな水産加工品メーカー、パラダイス水産。ひょんなことから、自社サイトをSSL対応にすることになった。その作業を任された(丸投げされた)カタクラ君は、果たして無事にSSLを導入できるのだろうか。 (※この物語はフィクションです。さくらインターネット以外の実在する団体・人物とは一切関係ありません) 「……というわけでカタクラ君、よろしく頼んだよ。あ、スタートは今月中ね!」 どよーん。また社長からの無茶振りだ。しかも今月中って。 ここはパラダイス水産の営業部。数人いる営業部メンバーの中で一番若いのが、「カタクラ君」こと僕である。 当社、パラダイス水産は水産加工品メーカーだ。具体的には「サバの水煮」や「サバの味噌煮」などの缶詰を自社工場で製造し、県内や近県の食品卸会社、スーパーなどに出荷している。“パラダイス印のサバ缶”といえばご当地の味であり、全国的な知名度はないけれど、地
TLS/SSLで使用するサーバー証明書の署名アルゴリズムが変わりつつある。脆弱性が見つかった「SHA-1」に代わって、「SHA-2」が使われ始めている。それに伴って一部のモバイル端末では、サイトアクセス時に警告が表示されるなどの変化が生じている。署名アルゴリズムの変更がモバイル端末に与える影響について紹介する。 TLS/SSLで使用するサーバー証明書には認証局の電子署名が付加されている。電子署名には暗号アルゴリズムが複合的に用いられるが、主に改ざん検知の目的に利用されるのが、入力に対して固定長データ(ハッシュ値)を出力する暗号学的ハッシュ関数である。 暗号学的ハッシュ関数には、(1)入力値からハッシュ値を容易に計算できる、(2)ハッシュ値から入力値を計算することが事実上不可能、(3)ある入力値に対するハッシュ値と同じハッシュ値になる別の入力値を見つけることが困難、(4)同じハッシュ値となる
メールアドレスでドメイン所有者を確認している一部の認証局について、米機関などが問題視している。SSL証明書が不正入手され、盗聴行為などに悪用される可能性があるという。 SSL証明書を発行する一部のルート認証局が、メールアドレスで申請者がドメイン所有者であるかを確認している行為について、米CERT/CCなどのセキュリティ機関が問題視している。CERT/CCは「メールではドメイン所有者が正しい存在であることを証明できない」とコメント。第三者が不正にSSL証明書を取得して、悪質なHTTPSサイトを構築したり、暗号化通信の内容を盗聴したりする可能性があるという。 一般的にルート認証局は、証明書の発行を依頼した人物がドメイン所有者、もしくはドメイン所有者から了承を得た立場であることを厳密に確認してから証明書を発行する。証明書の発行を受けたドメイン側は、アクセスするユーザーに証明書を提示し、ユーザーは
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
Mozilla 宣言で明記している「インターネットにおける個人のセキュリティとプライバシーは必須のものであり、オプションとして扱われるべきではありません」という原則にそって、インターネットの安全性を高める新たな取り組みを発表しました。 Mozilla、Cisco、Akamai、IdenTrust、EFF は共同で、金銭、技術、教育の障壁を取り除きインターネット通信を安全にすることを目的として、公益法人 Internet Security Research Group を設立しました。ISRG ではすべての Web サイトが TLS による暗号化通信を行えるようにするため、無料で自動化されオープンな公益認証局サービス Let's Encrypt を提供します。 Let's Encrypt では特定一企業でなく業界企業、学術機関、非営利団体が集まり、自動的に証明書を無料で発行や更新できる認証局
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
SSL/HTTPSの仕組みをざっくり理解しながら、 オレオレHTTPSの稼働まで。 0.そもそもSSLって何? 概要 SSLサーバー証明書とはウェブサイトの所有者の情報、送信情報の暗号化に必要な鍵、発行者の署名データを持った電子証明書です。 SSLサーバーには主に二つの役割があります。 証明書に表示されたドメインの所有者であることの証明 ブラウザとウェブサーバー間でのSSL暗号化通信の実現 一般的には、第三者サービスがWHOISと企業実在情報を照会して証明書を発行します。証明書を発行する人を認証局といいます。 よし、SSLサーバー証明書をつくればいいんだな。 オレオレSSLとは "俺自身が認証局になることだ…" 社会的信用はないSSLなので運用には注意してください。 その前に、暗号化ってなんですか? # encoding: utf-8 require 'OpenSSL' def encry
どのSSL証明書を買えば良いかよく相談されます AWS関連のお仕事をするようになって、お客様からよく相談されることの第3位ぐらいにSSL証明書の購入があります。毎回同じ説明するのも面倒なのでw、ブログでまとめたいと思います。 SSL証明書の安心感 SSL証明書には大きく分けて3つ(+1つ)の安心感レベルが存在します。 EV SSL証明書 EV SSL(Extended Validation SSL)証明書は、今のところ最も安心感のある証明書です。これを取得するためには、企業が実際に存在していること等、世界統一の認証プロセスがあり、日本では取得するために企業の登記簿謄本と印鑑証明書等の公的な文書が必要になります。ブラウザのアドレスバーが緑色になったらこの証明書を使っていることになります。最も新しい証明書の種類です。企業が自社の安心感を証明するものとして使うため、お値段もかなり高いです。 企業
他のWebサイトになりすまして個人情報などをだまし取るフィッシング詐欺が横行している。従来から金融機関や通販企業では、個人情報の漏えいを防止する観点でSSLによる暗号化通信を行うことが当たり前とされてきた。Webサイト全体で常にSSL接続する常時SSLの採用例も増えつつある。 だがSSL暗号化通信が行われていても、安心できない場合もあることをご存じだろうか。外部公開されているWebサイトがSSL暗号化通信を行う場合は、SSL機能に加えて、実在性証明機能を備えるタイプのSSLサーバ証明書を備えることが一般的だ。だが、この証明書を発行する認証局が、その運用の不備によってハッキングされてしまう事件が相次いでいるのだ。例えば2011年には英国の認証局がハッキングを受けて不正な証明書を発行。2013年1月にはトルコの認証局が誤って発行した証明書が悪用されている。 言うまでもなく、自社のWebサイトに
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く