Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
# openssl.cnf 日本語解説版 2005/1/31 # このドキュメントはopenssl projectとは関係ありません # 日替わり実験室の管理人が暇つぶしに翻訳して拡張したものです。 # このドキュメントに関する質問や指摘はopenssl projectにはしないでください # 間違いの指摘などはこちらへお願いします # URL:http://www.yggdrasil.jp/ # Mailto:meguro at yggdrasil.jp s/ at /@/ #################################################################### [ ca ] default_ca = CA_default # デフォルトのCAセクションを指定 ########################################
前のページ 目次 次のページ 最終更新日:2002年12月12日 3.3 電子証明書 3.3.1 X.509 証明書 証明書(公開鍵証明書)の標準として、ITU-T が策定した X.509 があります。X.509 は X.500 ディレクトリシリーズの1つであり、ISO/IEC の国際標準として規定されています。 X.509 の最初のバージョン(X.509v1)は 1988年に発行されました。さらに 1997年に発行された最新バージョン(X.509v3) においては、証明書に拡張領域が設けられ任意の拡張が可能になりました。X.509v3 は 2000年に改定され、後述するデルタ CRL と属性証明書の定義が明確になっています。 X.509v3 をインターネットで利用することを目的として、IETF の PKIX 作業部会によって RFC2459 が 1999年に策定されました。RFC245
CRLSetではZIP復元処理が2回あるのでCRLのASN.1の 処理コストと比較して5分5分といったところだろうか。 ちなみに、現在プッシュしているCRLSetはたった35のルートCA,中間CAしかサポートしていない。 ImperialVioletのブログの主張のおかしな点 「オンライン失効検証ができない場合様々な問題が起きる」として幾つか問題点を述べている。 「"captive portal"(ホテルのインターネットなどでウェブブラウザで認証してから ネットが使えるようになる仕組みの事)などでは接続前はオンラインの失効検証が できない」としているが、その時点ではホテルのサービスの認証のページしか繋がる 必要が無いのであまり大きなリスクとも思えない。特定の問題なので 別に解決策もあると思う。 「認証局のCRLを提供するリポジトリやOCSPレスポンダがダウンした場合、 そこが単一障害点にな
2005/10/02更新 高木浩光@自宅の日記を拝見するにつけ、PKI としての SSL が 中途半端な理解により台無しにされている場面が多いように思えます。そこで(セキュリティの専門家ではないものの)私が理解している範囲で自分なりに入門解説を書いてみました。 ちなみに、SSL v3 に少しの改良を加えたものが TLS v1.0 ですが、技術的な細かい点を気にしない 場合は、SSLと総称されています。 ここでも、そんな細かいことは気にしていないので SSL と総称しています。 SSLしくみ解説 まず、SSLを理解するために必要な用語を解説し、次に SSLが PKI としてどのような構成要素で安全な通信路を形成しているか解説します。 暗号化と復号化 コンピューターで暗号化というと、暗号化する前のデータ (以下、「平文(ひらぶん)」と呼びます)と鍵となるデータ(以下「鍵」と呼びます) を使って
OpenSSLはフリーのSSL実装で、mod_sslやApache-SSL、あるいはOpenSSHなどで必要になります。ApacheでSSLを使いたい場合は、OpenSSLのほかに、mod_sslまたはApache-SSLを導入する必要があります。 Apache 1.3.20 + mod_ssl 2.8.4インストールメモ Apache 1.3.6 + SSL 1.3.2 (Apache-SSL)インストールメモ INSTALLの手順通りコンパイルします。 $ tar xvfz openssl-0.9.6b.tar.gz $ cd openssl-0.9.6b $ ./config $ make $ make test rootになってインストールします。 $ su # make install 鍵の作成とサイト証明書の発行 パスフレーズで保護された秘密鍵を生成します。 $ su # cd
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く