CentOS 6 の Git で SSL connect error にハマった (NSS error -12286)
CentOS 6 の Git で急に fetch や pull ができなくなってハマったので、その記録です。なお、サーバー側は GitLab です。 症状 以前はできていたはずのリポジトリで git fetch が下記のようなエラーを出して、実行できなくなりました。 同じく、別ディレクトリで同一サーバーからの git clone もできなくなっていました。ただ BitBucket のリポジトリは同症状なのに GitHub のリポジトリだけは成功してしまうという困った状態でした。 なお OpenSSL は yum で更新できる最新の状態でした。 試行錯誤 1. git の SSL 検証を OFF にしてみる よくある対処法ですが、 SSL/TLS 系のエラーなのは間違いなさそうだったので、 SSL 検証を OFF にしてみましたが、効果はありませんでした。 2. GitLab 側の認証を外す
How to generate x509v3 Extensions in the End user certificate - Red Hat Customer Portal
Environment Red Hat Enterprise Linux 5 OpenSSL CA Issue Unable to install the SSL Certificate on the Server , the error reported is "No enhanced key usage extension found." Unable to generate certificate with x509v3 Extensions in the End user certificate Resolution Below extended key attributes have to be used in the certificate. As per RFC 3280, section "extended key usage" TLS WWW server authen
SSL証明書の内容をopensslで確認する - Qiita
発行されたSSL証明書の内容 サーバSSL証明書の購入をベンダに申し込み、めでたく発行されたらサーバに挿すわけだが、そもそもベンダに渡したCSRが手違いであったりして、万が一誤った内容の証明書が発行されていた場合、サーバに挿しても動かない(HTTPSアクセス不可、警告表示など)という悲惨な目に合ってしまう。 発行された内容が正しいかどうかをopensslコマンドで確認する方法があるので、是非覚えておきたい。 (正直コマンドをよく忘れてしまうので、このエントリはその備忘目的。) ハッシュ値の確認 秘密鍵、証明書、CSRの3つは全て同じハッシュ値が取れるようになっている。 これによりCSRをもとに作成された秘密鍵及び証明書が正しくできているかを確認することが出来る。 以下、それぞれのファイルのハッシュ値確認方法。 (ハッシュ値は適当) 秘密鍵のハッシュ確認
openssl コマンドでのSSL証明書の検証 - 朝ごはんいらない
CA証明書の検証にはサーバにルート証明書をインストール必要がある 目的 ベリサインのテストSSL証明書を用いてSSL設定をするにあたり、 秘密鍵、CSR、サーバ証明書、中間CA証明書がそれぞれ整合性が取れているかの検証をする #秘密鍵、CSR、サーバ証明書は各々のhash値を比較し、同一ならOK openssl rsa -in 秘密鍵 -modulus -noout | openssl md5 openssl req -in CSR -modulus -noout | openssl md5 openssl x509 -in サーバ証明書 -modulus -noout | openssl md5#サーバ証明書、中間CA証明書の検証 openssl verify -CAfile 中間CA証明書 サーバ証明書 ⇒cert_file:OK サーバ証明書、中間CA証明書の検証における注意点 ルー
opensslコマンド例文集
opensslコマンド関係の備忘録。 サーバに設定された証明書を確認する 正しくSSL通信が為されているならば証明書の署名と発行者、またSSLネゴシエーションのパラメータや暗号方式が得られる。 openssl s_client -connect HOSTNAME_OR_ADDR:443 -showcerts 中間証明書が正しく設定されているならばそれらを通じてルートCAまで一貫して辿れることが確認できる。 なお、ポート番号にはデフォルトでは以下を指定する。 443 HTTPS 995 POP over SSL 465 SMTP over SSL 993 IMAPS このコマンドは「---」で表示が止まるが、TCPセッションは接続したままになっている。HTTPSの場合はget /ENTERを打てばトップページの内容が得られるし、SMTPならHELO等を打つことでSMTPサーバと直接会話するこ
openssl コマンドでお手軽にSSL証明書をチェックする
勤め先の上司からステキなコマンドを教えていただいたのでメモ SSL証明書の確認のために Webサーバーを立てなくても、openssl の s_server を使うと簡単にできます。 $ openssl s_server -accept 10443 -cert example.com.crt -key example.com.key -CAfile example.com.ica -WWW 各オプションの意味は次のとおり -accept 待ち受けポート(デフォルトは 4433) -cert filename サーバ証明書のファイル名(デフォルトは server.pem) -key filename 秘密鍵のファイル名(指定しない場合はサーバ証明書が用いられる) -CAfile filename 中間証明書のファイル名 -WWW 単純な Web サーバをエミュレートする。 URL のパス部分を
openssl コマンドで SSL/TLS バージョンを指定した HTTPS 接続テストを実施する - らくがきちょう
openssl コマンドは様々なことが実行できますが、HTTPS の接続テストに使うことも出来ます。今回は openssl を使って SSL/TLS バージョンを明示的に指定した接続テストの方法をメモします。 目次 目次 Apache のインストール デフォルトで有効になっている SSL/TLS バージョン OpenSSL を使った HTTPS 接続テスト SSL/TLS バージョンを指定した接続テスト SSL 1.0 SSL 2.0 SSL 3.0 TLS 1.0 TLS 1.1 TLS 1.2 実行結果 SSL/TLS バージョンが一致せず、接続に失敗したケース SSL/TLS バージョンが一致し、接続に成功したケース Apache で SSL 3.0 を無効にしてみる 変更前 変更後 SSL 3.0 で接続出来なくなったことを確認する Apache のインストール テスト用のサーバは
sslscanでサーバのSSL/TLS状態を簡単にチェックする - ろば電子が詰まつてゐる
最近はSSL/TLSのセキュリティ問題が多発しているため、自分で運用しているサーバのSSL/TLSの設定をテストしたいという人は多いと思います。 SSL/TLSの状態をチェックするには、Qualys SSL LabsのSSL Server Testがよく使われます。しかしこれは外部から第三者にスキャンさせるわけですから、(心理的・社内政治的な)敷居が高いという点もありますし、そもそもインターネット側から直接接続できない環境のテストが行えません。 そこで、IPアドレスを指定するだけでよろしく対象のSSL/TLSサーバの状態をチェックしてくれるツールがあると便利だな、ということになります。本稿では、このような目的に利用されるsslscanというコマンドを紹介します。 sslscanはLinuxで動作し、ペネトレーションテスト用に使われるKali Linuxにもインストールされているお手軽なSS
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
RSA鍵、証明書のファイルフォーマットについて - Qiita
RSAの公開鍵暗号技術を利用するためには、鍵や証明書のファイルを扱う必要があるため、そのファイルフォーマットについて理解しておく必要があります。 実際、いろんな拡張子が登場するので、それぞれの意味を理解していないとすぐにわけがわからなくなります。そんなときのために備忘録をまとめてみました。 ファイルの拡張子の注意点 .DERと .PEMという拡張子は鍵の中身じゃなくて、エンコーディングを表している デジタル暗号化鍵やデジタル証明書はバイナリデータなのですが、MD5のハッシュ値のような単なる 値 ではなく、データ構造をもっています。.DERや .PEMはそのデータ構造をどういうフォーマットでエンコードしているかを表しています。そのため、.DERや.PEMという拡張子からそのファイルが何を表しているのかはわかりません。暗号化鍵の場合もあるし、証明書の場合もあります。 .DER 鍵や証明書をAS
当 Blog を SSL 対応させたので手順や修正が必要になった点などをまとめ
10年間運営されてきた自分の Blog を SSL 対応させるにあたって、その手順や、SSL 化したことで修正をしなければならなくなって大変だった点などを簡単にまとめてみようと思います。 なぜか先週末の夜中に急に思い立って、この Blog のドメイン用に SSL 証明書を購入し、急遽 SSL 対応 (HTTPS でアクセスできるように) してみたわけですが、その手順やら、SSL 化したことでちょっと手直ししないといけなくなって大変だった点などをまとめて見ようと思います。 ちなみに、まだリダイレクトや HSTS (HTTP Strict Transport Security) はドメインに対して有効にしていないので、現状は HTTP / HTTPS どちらでもアクセスできる状態。もうちょっと検証した上で HSTS を有効にして所謂、常時 SSL 化する予定。 10年間以上運営してきた Web
華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【SSL】秘密鍵のパスフレーズの入力ができず解除できない場合の対処方法。 – 和洋風KAI
DeNA Engineering - DeNAエンジニアのポータルサイト