[B! ssl] lanbeatのブックマーク

徳丸浩のWebセキュリティ事件簿

Webサイトへの不正アクセスが相次いでいる。企業としては対策が急務だが、攻撃者の手口は“進化”を続けている。被害に遭わないためには、最新の手口や対策に関する情報を常時チェックして備える必要がある。そこで、企業のセキュリティ担当者はもちろん、一般の従業員や経営陣なども知っておくべき、Webセキュリティの新常識について、Webセキュリティの第一人者である徳丸浩氏に最新の事案をもとに、その傾向と対策を語ってもらった。

lanbeat 2018/09/20

リンク

Firefox 52以降でのルート証明書の自動インポート機能でできること、できないこと - 2017-06-01 - ククログ

Firefox ESR52以降のバージョンでは、隠し設定のsecurity.enterprise_roots.enabledをtrueに設定することで、Windowsの証明書ストアに登録されたルート証明書をFirefox側で認識して使えるようになりました。ただ、この機能の背景や使い方についてユーザー側の期待と実際の挙動との間に若干の齟齬が見られるため、ここで改めて状況を整理してみます。この機能を有効にすると、以下の事を実現できます。組織内ネットワークに設置したSSLプロキシやSSLロガーの使用に必要な専用のルート証明書をFirefoxで認識させる。組織内ネットワークで運用しているサーバーの証明書専用のルート証明書をFirefoxで認識させる。それに対し、以下のことは依然としてできません。 Windowsの証明書ストアに元から含まれている証明書、例えば政府認証基盤のルート証明書をF

lanbeat 2018/06/28

リンク

WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。前提条件とりあえず以下のような感じの検証環境で試しました。 IPアドレス説明ホストO

lanbeat 2017/06/06

リンク

新しいTLSの暗号方式ChaCha20-Poly1305 - ぼちぼち日記

Disclaimer 本エントリは、近々IETFで標準化される予定の新しいTLSの暗号方式 ChaCha20-Poly1305 について解説したものです。本来なら、新しい暗号方式を紹介するいうことは、その暗号の安全性についてもちゃんと解説しないといけないかもしれません。しかし一般的に暗号の安全性評価はとても難しく、専門家でない者が暗号の安全性について軽々しく書くわけにはいかないなとも思いました。いろいろ悩みましたが、結局無用な誤解を避けるため、本エントリーでは ChaCha20-Poly1305 の安全性に関する記載を最小限に留めています。今回紹介する ChaCha20-Poly1305 は、これまでも様々な暗号研究者の評価を受けている暗号方式ですが、まだNISTの標準や某国の推奨暗号リストに掲載されるといった、いわゆる特定機関のお墨付きをもった暗号方式ではありません。記載内容が中途半

lanbeat 2017/05/15

リンク

SSL Server Test (Powered by Qualys SSL Labs)

This free online service performs a deep analysis of the configuration of any SSL web server on the public Internet. Please note that the information you submit here is used only to provide you the service. We don't use the domain names or the test results, and we never will.

lanbeat 2017/01/06

SSL
TLS

リンク

SSL3.0 徹底解剖！！！〜なぜ POODLE に殺されたのか〜 - もろず blog

©Copyright Yasuhiko Ito 10月の中旬ころに、google のセキュリティチームから POODLE という SSL3.0 の脆弱性が報告されたというニュースを見ました POODLE によって SSL3.0 の暗号通信が解読できることが実証されたので、今後 SSL3.0 は使わずに完全に捨てましょうという流れになっています今回改めて調べてみると、SSL は過去にも CBC 暗号を使用した場合の脆弱性がいくつか報告されていました Padding Oracle 攻撃 (2002年) BEAST 攻撃 (2011年) Lucky Thirteen 攻撃 (2013年) これらの攻撃をなんとかしのいで生き残ってきた SSL3.0 でしたが、今回の POODLE が致命傷となってついに死んでしましました SSL3.0 の何がマズかったのか、どんな弱点があったのかを見ていきましょ

lanbeat 2016/03/14

リンク

FREAK 対策を行う : アジャイル株式会社

はじめに先日暗号化プロトコル「SSL/TLS」の複数のライブラリに脆弱性が存在し、通信内容を盗聴したり改ざんする中間者攻撃 FREAK ( Factoring attack on RSA-EXPORT Keys ) が可能である旨レポートされましたが、週末には Windows でも影響がある(らしい) 旨報告が出ました。遅ればせながら、問題の確認等行ったので記しておきます。 Vulnerability Summary for CVE-2015-1637 写真 : 写真素材ぱくたそ ( 使いまわしてます... ) Export Cipher が使われている環境の脆弱性が指摘されているため、これが有効になっている場合に無効化すればよいようです。 EXP-DES-CBC-SHA EXP-RC2-CBC-MD5 EXP-RC4-MD5 EXP-EDH-RSA-DES-CBC-SHA EXP-

lanbeat 2016/02/05

リンク

httpsだからというだけで安全？調べたら怖くなってきたSSLの話!？ - Qiita

課題サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は？と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSSLの設定 nginxのHTTPS サーバの設定を参考に、たった２行だけどSSLを考えてみる。書き方は違えどもapacheも概念は一緒のはず。

lanbeat 2016/02/05

リンク

Redirecting to ssl-config.mozilla.org...

Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…

lanbeat 2016/01/29

リンク

Vistaやガラケーで買い物できない？カードセキュリティ新基準が波紋

古いWebブラウザーやフィーチャーフォン（ガラケー）を使っている顧客は、ECサイトでクレジットカード番号を入力できなくなる――。 2016年7月に本格適用されるクレジットカード情報保護のセキュリティ国際基準「PCI DSS（Payment Card Industry Data Security Standard） v3.1」をめぐり、ECサイト事業者から反発の声が高まっている。一部の顧客がECサイトでクレジットカード番号を入力できなくなり、サイトの売り上げを押し下げる可能性があるためだ。基準策定団体のPCI SSC（Payment Card Industry Security Standards Council）も、反発の声が想定外に多いことから、本誌の取材に対して「v 3.1がもたらす影響の実態調査に乗り出す」（PCI SSC インターナショナルディレクターのジェレミー・キング氏）考え

lanbeat 2015/11/05

TLS1.0も除外されるのは色々厳しい。

SSL
tls

リンク

CTX103520 - Citrix Secure Gateway使用時のファイヤウォール設定とプロキシ設定 - Citrix Knowledge Center

lanbeat 2015/07/13

Citrix
SSL

リンク

Apache/SSL自己証明書の作成とmod sslの設定 - maruko2 Note.

Apache/SSL自己証明書の作成とmod sslの設定提供：maruko2 Note. < Apache 移動：案内, 検索目次 1 手順 2 秘密鍵の作成 (server.key) 3 CSR（証明書の基になる情報）の作成　(server.csr) 3.1 入力項目の例 4 証明書（公開鍵）の作成 (server.crt) 5 Apache mod_ssl の設定 6 Apache 起動時にパスフレーズの入力を省略する 6.1 秘密鍵 (server.key) ファイルをあらかじめ復号化しておく方法 6.2 Apache起動時のパスフレーズ入力を自動化する方法 7 参考ページ 8 Apache 関連のページ手順 2017年1月1日以降、SSL 証明書の署名アルゴリズムとして SHA-1 を使用している証明書は SSL 通信ができなくなる。これは、Windows製品、Goog

lanbeat 2012/03/08

淡々と纏めてあるため応用し易く重宝しました。

SSL
apache

リンク

SSL/TLS Supported CipherSuites

Revision: 3.0 (Initial Release: 2010-Mar-05 Revised: 2011-Aug-02) SSL Server (Web Server, Application Server) SSL Server (Web Server, Application Server)

lanbeat 2012/02/06

よくぞ纏め&公開しています。素晴らしい。

リンク

InfoQ: HTTPSコネクションの最初の数ミリ秒

ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。これは