Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々
tl;dr 驚くべきハックにより旧Androidも引き続き証明書エラーなくサイトを閲覧できそうです いよいよ5/4に標準の証明書チェーンが切り替わります 前回までのおさらい Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる Let's Encryptの証明書切替周りその後 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしています。現在は、IdenTrustのルート証明書(DST Root CA X3)が使われています。 正確に言うと、ISRGは新しい認証局なのでそのルート証明書の普及率も当然低く、中間証明書はIdenTrustのルート証明書でクロスサインされており、それが標準で使われています。標準がDSTになっているだけで、ISRGのルート証明書のチェーンの証明書も指定すれば今で
無料の SSL 証明書が得られる ZeroSSL を使ってみた
はじめに 皆さんは ZeroSSL を知っていますか?個人でウェブサイトを運営している皆さんであれば、多くの方は Let's Encrypt を利用されていると思います。 https://letsencrypt.org/ja/ もちろん僕も使っています。僕の様なエンジニアの方であれば SSL の仕組みもおおよそ理解もしているし、コマンドラインの実行方法も知っておられるのでウェブサイトの SSL 証明書を取得する事もそれほど難しい事ではないでしょう。 しかしそれほど詳しくない方が certbot の様なコマンドを使って SSL 証明書を発行するのは割と難しい事です。そこでご紹介したいのが ZeroSSL です。 https://zerossl.com/ ZeroSSL とは ZeroSSL もまだあまり名前が知られていないせいか、Google 検索で「ZeroSSL」を検索すると「ZeroS
【10月19日19:45更新】一部環境における証明書エラーについて
今回の障害に関する詳細につきましては、『10月13日に発生した証明書エラーについてのご報告(続報)』をご覧ください。 平素は弊社サービスをご利用くださいまして、誠にありがとうございます。 弊社の中間CA証明書が誤って一部OSおよびブラウザにより一時的に除外されておりました。 現在復旧をしておりますが、環境によってはキャッシュの影響によりエラーが表示される場合がございます。 ご利用のお客様には多大なるご迷惑をお掛けいたしまして、誠に申し訳ございません。 ■対象 ・クイック認証SSL ・企業認証SSL ・Alpha SSL ・クラウドSSL ■発生時刻 2016年10月13日(木)18:00 16:00頃 ~ 2016年10月13日(木)20:30頃 ※障害発生時刻に誤りがありました。謹んでお詫び申し上げます。 ■影響範囲 中間CA証明書失効エラー ■背景 グローバルサインでは複数のルート証明
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
Redirecting to ssl-config.mozilla.org...
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
DROWN Attack
Operators of vulnerable servers need to take action. There is nothing practical that browsers or end-users can do on their own to protect against this attack. Is my site vulnerable? Modern servers and clients use the TLS encryption protocol. However, due to misconfigurations, many servers also still support SSLv2, a 1990s-era predecessor to TLS. This support did not matter in practice, since no up
Web開発者が恐らく知らない、SSLについて知っておくべきこと | POSTD
2015年、Web開発者は以前よりもSSLに関する理解を深めています。そうしたWeb開発者たちがHacker Newsを読むなら知っておくべきことを以下に挙げてみます。 ドメイン認証(DV)証明書は Let’s Encrypt から無料で取得することが可能。 拡張認証(EV)証明書 は CertSimple かいくつかのチェックののちの支払いで取得することが可能。これが我々のやり方。 Mozilla SSL Config Generator を使用すれば、サポートしたいブラウザに対して、サーバを可能な限り安全に設定することが可能。 完了後に SSL Labs を使って全てをチェックし、A評価獲得を確認しましょう。そうでなければ人に小言を言われます。 その他はどうでしょうか。我々の顧客から寄せられる最も多い質問について、回答を紹介していきましょう。 1. Chromeで”古い暗号スイート”を
無料でサーバー証明書を発行する「Let's Encrypt」
無料でSSL(Secure Sockets Layer)/TLS(Transport Layer Security)サーバー証明書を発行する「Let's Encrypt」が2015年12月4日(日本時間)にパブリックベータになった。いままでは招待制の限定ベータプログラムだったが、パブリックベータとなり、誰でも試すことができるようになった。 Let's EncryptはSSL/TLSサーバー証明書の取得・管理を簡単にできるようにすることで、HTTPSをWebの標準にすることを狙っている。専用のクライアントソフトウエアを利用すると、証明書の取得・更新作業を自動化できる点も特徴。クライアントソフトウエア自体も自動アップデート機能を備える。 Let's Encryptが発行するのはドメイン認証SSL/TLS証明書のみ。米国大手認証局(CA)である IdenTrustの証明書によって、中間証明書「L
Let's Encrypt を使って証明書を取得したので Azure Web Apps に設定して確認してみた - しばやん雑記
Let's Encrypt 去年から気になっていた Let's Encrypt がクローズドベータになり、申請すれば実際に証明書の発行がテストできると聞いたので、早速申請して証明書の発行を行ってみました。ただし IIS で使う前提です。 Let’s EncryptでValidなSSL/TLS証明書を取得する | DevelopersIO DockerでLet’s Encryptしよっか - Qiita 既に証明書の発行を試した方も居たので参考にしていたのですが、既に微妙に挙動が変わっているので注意したいです。一応ドキュメントも公開されてますが、メールに書いてあった分で十分な感じです。 User Guide The Let’s Encrypt project — letsencrypt latest documentation Let's Encrypt では Web サーバーへの証明書設定
Let's Encrypt を支える ACME プロトコル - Block Rockin’ Codes
Intro 先日 #http2study で mozilla の Richard Barnes が Let's Encrypt について話してくれました。 資料: Let's Encrypt Overview この資料の翻訳 はしたのですが、いらなくなってしまったので供養もかねてこのプロジェクトのモチベーションと、 Web でおこっている HTTPS 推進のたどる道について、資料を補足しつつ紹介します。 結論から言うと Let's Encrypt はもちろん ACME プロトコル についても是非知っておくと良いと思います。 HTTPS の問題 すでにこのブログでも紹介しているように、 Web における HTTPS の重要性は増し、それの普及を後押しする活動が各所で進められています。 HTTPS 化する Web をどう考えるか よく言われる盗聴防止を始め、暗号化を行うことで防げる問題は多くあ
Let's Encrypt の技術概要(翻訳) - 破棄されたブログ
以下の文章は、Let's Encrypt の Technical Overview の翻訳になります。 The Linux Foundation の利用条件に基づいて、 CC BY 3.0 ライセンスが適用されます。 誤訳・誤認・誤字・脱字・ライセンス上の問題等がありましたら、ご連絡ください。 Let's Encrypt の技術概要 Let's Encrypt そして ACME プロトコルの目的は、 あらゆる人間の手を介さずに、HTTPS サーバのセットアップを行いとブラウザに信頼された証明書を自動で取得することにあります。 これは、 Web サーバで動作する証明書管理エージェントによって行われます。 この技術の仕組みについて理解するため、Let's Encrypt をサポートした、証明書管理エージェントを用いて https://example.com/ をセットアップするプロセスを追って
ApacheやNginxのSSL関連のおすすめ設定を生成する便利サイト - cakephperの日記(CakePHP, Laravel, PHP)
ApacheやNginxとopensslのバージョンを指定するとおすすめの暗号スイートなど、SSL設定ファイルを表示してくれるMozillaのサイトがあります。 https://mozilla.github.io/server-side-tls/ssl-config-generator/ これを使えば安全な暗号スイートのみを使ってる設定などが簡単に生成されますので、この通りに指定すれば良いです。 Apacheの場合はデフォルトでは暗号スイート設定の記述はなかったと思いますが、下記の3つは表示通りに指定しておくのが良いかと思います。 SSLProtocol SSLCipherSuite SSLHonorCipherOrder Oldを選択すると、古いブラウザにも対応してる暗号スイートを含めます。ただ暗号強度が弱いものが含まれるためサイトのアクセス傾向をみて古いブラウザのアクセスが無いのであれ
Mozilla SSL Configuration Generator – 各種HTTPサーバでのSSL設定を表示
セキュリティに対する懸念やクイックSSLの低価格化、ハードウェアの高機能化もあって、SSL/TLSを導入するサイトが増えています。SSL間でないとリファラー情報を飛ばさないなどマーケティング上も困る状態になります。 しかしSSLの設定は意外と面倒で、ちゃんと設定されていないと意味がなかったり、エラーが出てしまったりします。そういった点を適切にアドバイスしてくれるのがMozilla SSL Configuration Generatorです。 Mozilla SSL Configuration Generatorの使い方 Mozilla SSL Configuration Generatorはその名の通りMozillaが開発しているサービスで、各種設定に基づくSSLの設定を提示してくれるソフトウェアです。 対応しているのはApache/nginx/HAProxyになります。モダンな書き方、サ
NginxでSSLの評価をA+にする手順
昨日 HTTPS 化した シャンプー評価サイト のSSL評価をA+にしました。 参考にしたのは下の記事 HTTPS on Nginx: From Zero to A+ (Part 2) - Configuration, Ciphersuites, and Performance - Julian Simioni この記事のNginx証明書設定をPOSTDさんが翻訳しているので、近いうちに詳しい訳は日本語で読めるかも。ここでは適当にかいつまんだ手順を書いておく。一部時間のかかるコマンドもあるけど、基本的に決まった設定書くだけなので時間はかかりません。(もちろんどういう意味なのか知っておくに越したことはない) SSLの評価計測について SSLサーバーのテストはQualys SSL Reportで確認します。 Nginxデフォルトの設定で計測したらCだった。 SSLv3 を無効にする SSLv3
無料でSSL使える時代きてた!CloudFlare最高!!!(?) - uzullaがブログ
しょうもない日記 YAPC行脚、福岡編 - uzullaがブログ とかかいた後になんとなくツイッターをみていたら、あるツイートをみまして。 packagist.jpをcloudflare対応したら、自動的にHTTPS対応できたでござる。すごい。一円も払ってないのに https://t.co/moCiiSwb44— Hiraku (@Hiraku) 2015年2月24日 それでCloudFlare(http://cloudflare.com/)がタダでSSL証明書を用意してくれるようになっていたのを知りました。 Cloudflare Free SSL/TLS | Get SSL Certificates | Cloudflare タダ!なんと甘美な響き! オチ SNIでかまわないなら、CloudFlareをつかえばValidなSSLがタダで利用できる。 SNIとは? NameBaseのVir
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ComputerworldとCIO Magazineは閉鎖しました
SSL/TLS and PKI History
SSL/TLSの基礎と最新動向