Chapter 1: Getting Started Getting Started Key and Certificate Management Server Configuration Creating a Private Certification Authority from Scratch Chapter 2: Testing with OpenSSL Sixteen sections cover testing of various aspects of TLS server configuration For all its warts, OpenSSL is one of the most successful and most important open source projects. It’s successful because it’s so widely us
Mapping OpenSSL Cipher Suite Names to Official Names and RFCs OpenSSL, and a lot of software that uses it (httpd, nginx etc) have their own cipher suite names. To map from the OpenSSL cipher suite name, such as: ECDHE-ECDSA-AES256-SHA384 1) Look up the ID Use the OpenSSL ciphers(1) tool to look up the cryptographic suite selector code (2 hex values used to represent that cipher suite on the wire)
4. © 2015 Kenji Urushima All rights reserved. 3 • 最近のBEASTやHeartBleed、CA不正証明書問題など重大なSSL/TLS脆弱 性に対応するには、どのような設定をすればよいか? • CRYPTREC暗号リストと整合取りながら、暗号の難しい説明なしに、サー バー管理者に使ってもらえる、設定例を豊富に用意した資料 • サーバーの設定はどのように決めるのか – サーバー管理有識者の知見 – 暗号・プロトコルの研究者・有識者の知見 – 証明書発行サービス有識者の知見 – サーバー・クライアント製品の実装状況 – 市場での暗号やプロトコルの利用状況 – SSLサーバー証明書の選定 • 日々の脆弱性に対応する「意識高い系」サーバ管理者向け CRYPTREC/IPA SSL/TLS暗号設定ガイドとは CRYPTRECシンポジウム2015の菊池
702NK (1) 705NK (1) Activity (1) Adapter (2) add-on (1) AES (1) agile (3) amazon (2) Android (19) Android Studio (1) arm (2) assembler (1) bash (2) Bluetooth (2) book (3) bridge (1) C (13) cache (2) canna (1) catch.com (1) codereview (4) CPU (3) cruisecontrol (1) current (1) cygwin (1) debian (2) debug (2) dictionary (1) disklabel (2) distcc (2) DMA (2) Dropbox (1) embedded (2) encfs (1) english (
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
[[JNSA PKI Day 2015>http://www.jnsa.org/seminar/pki-day/2015/]]の講演「SSL/TLS生誕20年、脆弱性と対策を振返る」とパネル「SSL/TLSの実装が進むべき道を語ろう」の補足情報を、講演後にこのページで公開します。 *講演スライドの差し替え(2015年4月10日(金) 15:48) 講演「SSL/TLS生誕20年、脆弱性と対策を振返る」につきまして、[[JNSAサイト>http://www.jnsa.org/seminar/pki-day/2015/]]で公開しているものから、スライドを6枚追加させて頂きました。最新版がJNSAサイトでダウンロードできますのでご利用ください。 - [[JNSAサイト最新マージ版PDF(1.8MB)>http://www.jnsa.org/seminar/pki-day/2015/data/2
© 2015 Fuji Xerox Co., Ltd. All rights reserved. JNSA PKI相互運用WG・電子署名WG共催セミナー PKI Day 2015 サイバーセキュリティの要となるPKIを見直す SSL/TLS生誕20年、脆弱性と対策を振返る 2015年4月10日(金) 13:40-14:15 於:ヒューリックカンファレンス秋葉原ROOM1 漆嶌 賢二, CISSP © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 ・経歴 ・富士ゼロックス(2010~) ・エントラストジャパン(2005~2010) ・セコム(1988~2005) ・興味: PKI, TLS, 電子署名, SSO, 認証, 暗号, CSIRT, 脆弱性検査, フォレンジック, スマホ, プログラミング, ビットコ
最近はSSL/TLSのセキュリティ問題が多発しているため、自分で運用しているサーバのSSL/TLSの設定をテストしたいという人は多いと思います。 SSL/TLSの状態をチェックするには、Qualys SSL LabsのSSL Server Testがよく使われます。しかしこれは外部から第三者にスキャンさせるわけですから、(心理的・社内政治的な)敷居が高いという点もありますし、そもそもインターネット側から直接接続できない環境のテストが行えません。 そこで、IPアドレスを指定するだけでよろしく対象のSSL/TLSサーバの状態をチェックしてくれるツールがあると便利だな、ということになります。本稿では、このような目的に利用されるsslscanというコマンドを紹介します。 sslscanはLinuxで動作し、ペネトレーションテスト用に使われるKali Linuxにもインストールされているお手軽なSS
これは HTTP/2 アドベントカレンダー19日目の記事です。 この記事はたくさんの資料を読んだ上で書きましたが、間違いとか勘違いとかがあるかもしれません。もしあれば、指摘していただけると幸いです。 実質的に必須となったTLS HTTP/2は、HTTP/1.1と同じく、暗号化なし/ありのポートとして、80と443を使います。そのため、通信開始時にHTTP/1.1とHTTP/2をネゴシエーションするための仕組みが、HTTP/2で定められています。 このように仕様としては暗号化なしのHTTP/2が定義されていますが、Firefox や Chrome が TLS を要求するために、実質的は暗号化ありが必須となっています。これは、米国の監視プログラムPRISMに代表される広域監視(pervasive surveillance)に対抗するために、IETFがさまざまな通信にプライバシの強化を要求する方
先週のInternet Week 2014でHTTPSサーバー設定のセッションのパネルパネルで言えなかった事の第二弾です。 自分のサイトが公開サイトである場合にはQualys SSLLabsのサイトを使って外部からSSLの暗号スイートの設定を確認すればよいんですが、イントラ内の場合には厄介ですよね。パケットキャプチャで調べるわけにもいかないし、OpenSSLのs_clientで暗号スイート一つ一つチクチク調べるのは面倒だし。 そんな時、クライアント側にWindowsが使えればwww.g-sec.luで公開しているsslauditというツールが便利です。 検査対象のサーバー(IPアドレスでも可)とポート(デフォルトでは443)を指定して、「Start」ボタンを押すだけです。利用可能なものだけを表示する場合には「Display supported ciphers」をチェックしてからスタートする
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 先週のInternet Week 2014でHTTPSサーバー設定の話をさせて頂きました。お越し頂いた方、ありがとうございました。マニアックな内容だったのですが、何か参考になる所があれば嬉しいです。 さて、今日はパネルネタで仕込んでおいたのに陽の目を見なかった話をちょっとブログで書こうと思います。SSL/TLS関連で統計データみたいなものを出しているサイトが幾つかあって、そこから世の中の傾向がわかったり、それを元に自分のサーバーはどう設定するかなぁ、などと考えるのに役に立つのではと思い紹介したいと思います。 SSL Pulse まず最初に紹介したいのがSSL Pulseというサイトです。 出典:SSL Pulse https://www.tr
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
Posted by usa on 27 Oct 2014 We changed the default setting of ext/openssl in Ruby 2.1.4, Ruby 2.0.0-p594 and Ruby 1.9.3-p550. With this change, insecure SSL/TLS options are now disabled by default. However, by this change, there is a possibility of some problems in the SSL connection. Details OpenSSL still implements protocols and ciphers that are considered insecure today by historical circumsta
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ SSL 3.0 に存在する脆弱性、通称 「POODLE」 に関連して、自分が管理している Web サーバ (Apache) の SSL 3.0 を無効にした際の設定方法と、各ブラウザごとに SSL 3.0 を無効にする方法などをまとめています。 2014年 10月 14日 に発表された「Secure Sockets Layer(SSL)」のバージョン 3.0 (SSL 3.0) に存在する脆弱性 (CVE-2014-3566)、通称 「POODLE (Padding Oracle On Downgraded Legacy Encryption)」 ですが、これに関連して、自分で管理している Web サーバ (Apache) の SSL 3.0 を無効にしました。 そ
The latest news and insights from Google on security and safety on the Internet Patrick McFarland said... No Linux distro seems to ship an OpenSSL with those patches applied yet. April 25, 2014 at 6:17 AM Unknown said... While I am glad to hear that and I know Google has access to the brighest brains, probably even outdoing Microsoft as an employer in this respect: since the NSA revelation by a ce
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 SSL/TLS CipherSuiteウォッチャーの@kjurです。 TechCrunch JPに昨日こんな記事が掲載されました。 Twitterが将来の暗号解読を防ぐため全サイトにわたってPerfect Forward Secrecyを採用 (2013年11月23日) http://jp.techcrunch.com/2013/11/23/20131122twitter-enables-perfect-forward-secrecy-across-sites-to-protect-user-data-against-future-decryption/ 最近、SSL/TLS のCipherSuiteについて、いろいろ趣味で調べているんですが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く