This domain may be for sale!
let’s encrypt で複数ホスト名対応な証明書を作る タイトル通りですが、割と簡単に複数のホスト名に対応した証明書が取得できるので、やってみました。 今回は ansible playbook のおまけ付きです。 let’s encrypt の困った問題 let’s encrypt ではワイルドカード証明書が無いので、複数のホスト名を1台のサーバでホスティングできないため、ちょっと困っていました。 ググって調べてみたら、let’s encrypt は SAN 対応の証明書だったら発行できる、と言うことだったので実際にやってみました。 その前に、SAN って何よ? ワイルドカード証明書だと良く聞くと思うのですが、 SAN って何よ?と思う人も多いと思います。 SAN とは Subject Alternative Name の略称で、サブジェクトの別名です。 ん?サブジェクトってなに?
とある事情でSSL通信をさせて内部的にリダイレクトさせないとならなかったのでその手順をまとめる。 サーバ証明書を生成 今回はデバッグ目的のみなのでちゃんとした証明書ではなくとりあえず動くものを生成する。 #opensslのインストール $ brew install openssl #続いてopensslから証明書の生成 $ openssl req -new -days 365 -x509 -nodes -keyout cert.key -out cert.crt nginxの設定 続いてnginxの設定。 設定ファイルは/etc/nginx/conf.d/ssl.confに保存。 (ここは*.confが普通は全部読み込まれるので同じディレクトリならOK) #エイリアス?の設定。なんか動かなかったのでコメントアウト。 #upstream server_clusters { # server
■IEなどのブラウザから確認する方法 IEなどのブラウザのアドレス欄に「https://」で始まるURLを入力して、SSL証明書の内容を確認します。 IEなどのブラウザから証明書の確認手順はこちら ブラウザの種類によりましては、中間CA証明書がインストールされていない場合でも 補完機能により自動的に中間CA証明書を補完する場合があります。 中間CA証明書が正しくインストールできたかを確認するには、 必ず認証局のインストールチェッカーで確認して下さい。 ■認証局のインストールチェッカー ご利用製品の種類にかかわらず、どの認証局のインストールチェッカーでもご利用いただけます。 ■デジサート社インストールチェッカーの使い方 【ご注意】 対象(証明書を設定した)サーバ側でTLS1.1以上をサポートしている必要があります。 TLS1.0以下の場合はインストールチェッカーは使用できません。 証明書のコ
用途にもよりますが、通信の暗号化を目的とするのであれば、ドメイン認証型で十分です。例えば HTTP/2 でWEBサーバを動かすには、事実上SSL/TLSが必須になりますので、そういった用途でも普及しそうですね。 Let's Encrypt の証明書取得方法 Let's Encrypt クライアントソフト(コマンド)をインストールして、証明書取得用のコマンドを打つだけです。 冒頭にも書きましたが、Let's Encrypt での証明書取得の手続きは、他の認証局のものと大きく異なります。Let's Encrypt のサイトに行って「CSRを送信する申請フォームはどこだろう?」と探したのは、私だけではないはずです(^^;) 参考までに、一般的なドメイン認証型の証明書発行の流れは、以下の通りです。 (1) 秘密鍵を作成 (2) 秘密鍵を元に、CSR(証明書を発行するための署名要求)を生成 (3)
全てのWebをセキュアにする目的で活動するLet's Encryptの証明書が悪用された。主に日本のユーザーを対象とした攻撃に利用されたことが分かっているという。 米トレンドマイクロは1月6日(米国時間)、「Let's Encrypt」の証明書が不正広告攻撃に悪用されたことを確認したと発表した。 この攻撃の主な対象は日本のユーザーで、不正広告で「Angler Exploit Kit」をホスティングするWebサイトに誘導し、トロイの木馬であるネットバンキングアプリをダウンロードさせるというものだ。トレンドマイクロが2015年12月21日に検知した不正広告サーバには、ピーク時(12月25日)で50万件近いアクセスがあったという。同社はLet's Encryptにこの件を報告済みだ。 攻撃者は適正なドメインの下に「domain shadowing」と呼ばれる手法で攻撃者が制御するサブドメインを作
最近 Let's Encrypt が Public Beta になったということで,自分のサイト(https://sonickun.xyz)もSSL化してみた.また,どうせならSSL LabsのテストでA+を取りたいと思いあれこれ試行錯誤したので備忘録として残しておく. Let's Encrypt letsencrypt.org Let's Encrypt は,SSL/TLSサーバ証明書の取得・管理を簡略化できる無料のサービスであり,TLSやHTTPSを普及させることを目的としている.Let's Encryptで取得可能なSSL/TLSサーバ証明書は「ドメイン認証 (DV) SSL/TLS証明書」であり,独自ドメインの所有者であれば誰でも取得可能である.企業認証(OV)SSL/TLS証明書やEV SSL証明書は取得できないが,個人が運営するサイト程度ならDV証明書で十分といえる. Let'
ども、大瀧です。 無償で利用できるSSL証明書発行サービスであるLet's Encryptがクローズドベータになりました。早速ベータ申請が通ったので、証明書を発行してみた様子をレポートします。 動作確認環境 端末 : OS X El Capitan Webサーバー : Debian Wheezy 手順 現在はクローズドベータなので、事前にベータにエントリーしていたメールアドレスに招待メールが届くことで利用可能になります。手順自体は以下のページでアナウンスされているものです。 Beta Program Announcements - Let's Encrypt Community Support まずはローカルにユーティリティをインストール&実行します。OSXの場合は自動でHomebrewを検出し依存ソフトウェアがインストールされます。環境を汚したくないという方はDockerを利用するのも良
対象ソフトウエア:Windows 7/Windows 8/Windows 8.1/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2 解説 2015年2月中旬、レノボ製の個人向けPCの一部にプレインストールされた「Superfish」というソフトウエアが、深刻なセキュリティ上の問題を引き起こす危険性があることが報道された。 LenovoのノートPCに不正なアドウェア、SSL通信を傍受(ITmediaエンタープライズ) Lenovo、「Superfish」プリインストールについて公式見解を発表(ITmedia PC USER) Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も(ITmediaエンタープライズ) このソフトウエアは、一緒にインストールされた「CAルート証明書」を利用して、同じコンピュータ
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
それぞれ解説します。 1. 共用SSL証明書 最も手軽にSSLを利用する方法です。特に事前準備無く、手軽にCloudFrontでHTTPS通信ができるようになります。 2.独自SSL証明書(IPベースモード) こちらは昨年6月に追加された機能で、あらかじめユーザーでSSL証明書一式を準備しアップロードして利用するタイプです。具体的な手順は、以下のブログエントリーを参考にしてください。 CloudFrontの独自ドメインSSL証明書対応を試してみた | Developers.IO ここではちょっと横道に逸れて、なぜ追加料金がかかるのかを考察してみます。 Webサーバーでは1台のサーバーで複数ドメインをホストするバーチャルホスト構成として、以下の2つの方式を利用します。 ネームベース サーバーは、クライアントからのHTTPリクエストヘッダに含まれるHOSTヘッダでどのドメイン宛かを判断します。
ども、大瀧です。 ELBのSSL Termination、みなさん使っていますか?EC2のSSL処理をオフロードしたり、バーチャルホストを複数ELBで対応したり、便利ですよね。 ただ、"ちょっとSSL Terminationを試してみたい"というときサンプルの証明書を準備する作業は、結構面倒なのではないでしょうか。今回はなるべく手早く、自己署名証明書を作成する方法としてmake-ssl-certコマンド+αの方法をご紹介します。 お決まりの断りですが、SSL自己署名証明書はあくまで動作確認用に用いるべきものですので、HTTPS通信の保護およびWebサーバー認証のためには、然るべき正式なSSL証明書を準備ください。 Step1: Ubuntu VMをVagrantで用意する まずは、SSL証明書作成用のUbuntu仮想マシンを用意します(キリッ)。「えー、証明書作成のためにわざわざ仮想マシン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く