我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
RapidSSL正規販売パートナー Rapid-SSL.jp
SSL サーバ証明書 格安・快速発行 Rapid-SSL.jp 楕円曲線暗号(ECC)公開鍵暗号への対応始めました。。。SSLサーバ証明書 を取得するならRapid-SSL.jp。 Rapid-SSL.jpは、Digicert社が保有・運営する低価格ソリューションブランド"RapidSSL.com"のサービスを取り扱う日本における正規販売パートナーです。 低価格とはいえ高い信頼性・2048bitRSA, ECC P-384ルート証明書対応・Certificate Transparency対応・世界標準の256bit鍵長SSL暗号と全く遜色の無いもので、まさにSSL普及の為のサービスと言えるでしょう。 法的な書類確認が不可欠なサービスをあえて扱わず、オンライン本人確認システムを採用、全ての手続きのオンライン化・徹底したコスト削減によりお求めやすく・快速発行(最短数分)*1を実現しました。現在
SSL のパフォーマンスでお嘆きの貴兄に - What I’ve found has never been enough@Hatena
SSL アクセラレータの価格に胃を痛めている貴兄、それが買えず SSL のためだけにサーバの台数をニョキニョキ増やしている貴兄、そうでなくとも SSL のパフォーマンスでお嘆きの貴兄のために、いろいろまとめてみましたよ。 SSLセッションキャッシュのタイムアウト設定を長くしよう SSL の負荷のほとんどはセッションの生成によるものなので、当然のようにサーバ側の SSL セッションキャッシュを有効にしておられると思いますが、そのタイムアウトの設定がデフォルトのままという方が多いのではないでしょうか。 たとえばApacheでしたら、設定サンプルのまま SSLSessionCache shm:/usr/local/apache/logs/ssl_gcache_data(512000) SSLSessionCacheTimeout 300 としている方が多いのではないでしょうか。 各サーバのデフォ
hansode.org - このウェブサイトは販売用です! - hansode リソースおよび情報
このウェブサイトは販売用です! hansode.org は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、hansode.orgが全てとなります。あなたがお探しの内容が見つかることを願っています!
Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.
Apache/SSL自己証明書の作成とmod sslの設定 提供:maruko2 Note. < Apache 移動: 案内, 検索 目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR(証明書の基になる情報)の作成 (server.csr) 3.1 入力項目の例 4 証明書(公開鍵)の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ 手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。 これは、Windows製品、Goog
奥様に耳より情報! Go DaddyでSSL証明書を買う前に必見!! - (ひ)メモ
2010-11-11追記 いつの間にか$49.99/yearになってたんですが、 http://www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqasia1 を踏んで購入すると$12.99になる模様。 Go Daddy は、SSLサーバ証明書が安いです。 1年間有効のもので、たったの$29.99です。 これでもやすーいなんですが、promo codeを入れるともっとお買い求めしやすくなります! 新規に証明書を購入する場合は、 GoDaddy Coupons – April 2010 - Promo-Code.net の「promossl」のリンクを踏んで Go Daddy のサイトにとんで、そこでカートに証明書を入れます。 これだけで、$29.99の証明書がなんと$12.99 (56.7%オフ)になります! 新規じゃなくて更新する場合は、
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
Takayuki Nakamura's blog: 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う
2007年7月4日 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う #なんだかんだしてたら、半月経ってしまった #来週になったら、ちゃんと再開 『Name-based SSL virtual hosts』 より 名前ベースのVirtualHostでSSLを使う場合、以下の方法をとれば、それぞれのVirtualHostごとの証明書を使うことができます。 ワイルドカード証明書を使うCN=*.example.com という設定の証明書を使えば、www1.example.com と www2.example.com で共通のサーバ証明書を使うことができます。 subjectAltNameを使う 証明書の subjectAltName に別名としてVirtualHostのDNS名を書いておきます。サーバにセットする証明書は1つですが、証明書内の別名をチェックすることで、「証明
http://micho.mimora.com/openssl.txt
OpenSSL いろいろ 1. 秘密鍵の作成 [暗号化しない] % openssl genrsa -out server.key 1024 [3DESを使ってパスフレーズで暗号化する] % openssl genrsa -des3 -out server.key 1024 [既にある秘密鍵の暗号化を解く] % openssl rsa -in server.key -out server.key [既にある秘密鍵を暗号化する] % openssl rsa -des3 -in server.key -out server.key [みてもわからないけど秘密鍵の中身をみる] % openssl rsa -noout -text -in server.key 2. 証明書署名要求の作成 % openssl req -new -days 365 -key server.key -out server
多段の中間CA証明書作成 -動作検証編- - HDEラボ
前回多段の中間CA証明書作成 -証明書作成編-と題して記事を書きましたが、今回は続編として作成した多段の中間CA証明書の動作検証を行ってみたいとおもいます。 という名前のディレクトリに下に各中間CAの秘密鍵、CSR、証明書があるかと思います。 このそれぞれのCAの秘密鍵を使用し、作成したサーバ証明書に署名することで多段のCA証明書により署名されたサーバ証明書を作成することができます。 例えば、ca5の中間CA証明書を使用し署名した場合、rootCAからサーバ証明書までの間に5つのCAが存在するサーバ証明書が作成されます。 では、その中間CAが5個のサーバ証明書を作成してみたいと思います。 $ openssl req -new -keyout server.key -out server.csr Generating a 1024 bit RSA private key .++++++ ..
証明書のファイル形式について
Kimura Taiji <taiji-k@is.aist-nara.ac.jp> $Date: 2009-05-14 20:39:44+09 $ このメモでは、証明書のファイル形式と、それらのファイルを一般的な形式である PEM 形式に変換する方法を書きます。 PEM 形式 このファイルは PEM 形式にエンコードされたファイルで、以下のようなテキストのファイルです。 内容は X.509 であったり、PKCS#7 であったりします。 PEM 形式の X.509 のファイルは Apache (httpd) や OpenSSL で標準のファイル形式として使われています。すなわち -inform オプションなどを使って形式を指定する必要がありません。 -----BEGIN CERTIFICATE----- MIIDaDCCAlCgAwIBAgIBHTANBgkqhkiG9w0BAQUFADA2
[SECURITY] [DSA 1763-1] New openssl packages fix denial of service
[SECURITY] [DSA 1763-1] New openssl packages fix denial of service To: debian-security-announce@lists.debian.org Subject: [SECURITY] [DSA 1763-1] New openssl packages fix denial of service From: Moritz Muehlenhoff <jmm@debian.org> Date: Mon, 6 Apr 2009 18:25:35 +0200 Message-id: <[🔎] 20090406162535.GA5871@galadriel.inutil.org> Reply-to: debian-security@lists.debian.org -----BEGIN PGP SIGNED MESSA
Apacheでの、パスフレーズ入力なしでの起動方法 | GMOグローバルサイン サポート
セキュリティ上はパスフレーズつきの鍵をお勧めしますが、以下の手順で解除することが可能なようです。 ※Apache等フリーウエアのご利用はお客様の責任においてご利用、ご確認ください。 パスフレーズなしで鍵を生成する場合 通常の作成方法 # openssl genrsa -des3 -out ./ssl.key/xxxxxxx.key 2048 ※「-des3」は、des3アルゴリズムのパスワード保護するという意味です。 パスワードなしの作成方法 # openssl genrsa -out ./ssl.key/xxxxxxx.key 2048 パスフレーズを後から解除する場合 元ファイルのバックアップ # cp xxxxxxx.key xxxxxxx.key.org パスフレーズの解除 # openssl rsa -in xxxxxxx.key -out xxxxxxx.key パスフレーズを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.jp.websecurity.symantec.com/welcome/pdf/wp_ssl_negotiation.pdf
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
SSL証明書取得のススメ
Admiral
SSLモバイル - 携帯端末のための証明書 | アシアル株式会社
FAQ - FAQ - ADOS Support Site