OpenSSHの認証に証明書を使う2014年10月27日の「#ssmjp 2014/10」でLTした資料です。詳細はConoHaの技術ブログもご覧ください https://www.conoha.jp/blog/tech/3659.htmlRead less
オレオレ認証局の適切な運用とName Constraints - kazuhoのメモ置き場
オレオレ認証局が忌避されるべきものとされてきた理由は、X.509 PKIが保証する安全性は、最も信頼性が低い認証局(trusted root)のそれに等しいからです。 しかし、X.509 v3以降ではName Constraintsが導入され、「特定のドメインに対してのみ証明書を発行可能な認証局」を定義できるようになっており、同constraintをcritical key usage extension*1として宣言したルート証明書を安全な経路で配布、インストールすることができれば、上記のようなX.509 PKIの系全体に対する影響は発生しないことになります*2。 ここで問題になるのは、どの程度のウェブブラウザがName Constraintsに対応しているのか、という点になりますがhttps://news.ycombinator.com/item?id=5194103によると、Chro
トップ | e-Govポータル
e-Govは、各府省がインターネットを通じて提供する行政情報の総合的な検索・案内サービスの提供、各府省に対するオンライン申請・届出等の手続の窓口サービスの提供を行う行政のポータルサイトです。
高木浩光@自宅の日記 - PKIよくある勘違い(3)「プライベート認証局が妥当ならオレオレ認証局も妥当だ」
■ PKIよくある勘違い(2)「安全に配布すればルート証明書を入れさせてよい」 オープンソースプロジェクトなので……? 1月20日の日記「日本のPKIを殺した真犯人は誰か」に対して、「SQS Development:暫定的な方法:SourceForge.jp上のHTTPSで保護されたページを通じて,証明書のMD5SUM値を確認する」というトラックバックを頂いた。訪れてみると、オープンソースプロジェクトとして開発されている、「SQS SourceEditor」と「SQS MarkReader」というJavaアプリケーションが、Java Web Startの仕組みで配布されていた*1。 配布されている「SQS SourceEditor」を起動しようとすると、図1の警告画面が現れる。 「このコードをインストールおよび実行しないことを強くお勧めします」と警告されているのは、「この証明書の信頼性を検
高木浩光@自宅の日記 - PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」
■ PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 「オレオレ証明書クイズ」なるものが実施されていたようだ。 (1) 案内文の前半にある「暗号化は正常に行われます」は正しいでしょうか。 設問が悪い。案の定、正常だと回答する人が現れ、模範解答を見て 「間違っていなかったようだ」などと言っている。 たとえば、 金庫の上にその鍵が置いてあります。この金庫は正常に機能しているでしょうか? と問うことのバカバカしさなら理解できるだろうか。あるいは、 共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します*1。この暗号は正常に機能しているでしょうか? ならどうか。暗号そのものは作動しているだろうが、それを言ったところで何 か意味があるのか? つまり、プロトコル全体として正常に機能しているかが 問われている文脈において、個々の暗号アルゴリズムが作動しているかどうか を云々す
高木浩光@自宅の日記 - 広島市曰く「警告は出ますがセキュリティ自体には問題ない」, 高知県情報企画課曰く「とくにおかしいと思わない」, 簡単な結論
黄色い警告マークが3つも並んでいるのは珍しい事例だ。証明書の内容を確認 すると、図2のように、有効期限が2003年1月(2年前)に切れており、証明書 の発行者は、「Hiroshima」の「Hiroin」という組織の「ITO Center」という ところとだ書かれている。 www.hiroins-net.ne.jp のトップ ページにアクセスしてみると、株式会社広島市産業情報サー ビスという第三セクターの組織が取得しているドメイン名だということが わかる。 当社は、急速な情報化の進展の中で、広島市経済の振興を図るため、地域企業 における経営の効率化と情報機能を強化し、高度な情報処理機能と地域の特性 を活かした情報ネットワークを形成することを目的として、昭和63年2月、 広島市・地元企業などが出資して設立した第三セクター方式の株式会社です。 株式会社広島市産業情報サービス 会社概要 このことに
cacert
CAcert.org http://www.cacert.org/ でやっている、個人の信頼の輪によってSSLのような証明をしようというもの。無料でオレオレ認証局よりはマシなものができる。 参加 http://www.cacert.org/ から「日本語」を選び、「参加」を選択。名前、生年月日、メールアドレスに嘘を書くと、必要な保証を受けることができないので注意。 ルート証明書 トップページ→ルート証明書→PEM/DERのどちらかでインストール 個人情報 保証人は連絡先情報を公開したほうがよい? アカウント情報→連絡先→住所録リスト→「リストに加えてほしい」 所在地の設定。 アカウント情報→所在地→Japan→… (区や市がちゃんと作られてないこともあり) メールアカウント & GPG、ドメイン 利用するメールアドレス、GPG鍵を設定。 メールアカウント→追加 でアドレスを記入、送信。届い
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アプリケーション認証局の自己署名証明書
同志社大学ICカード(PKI)のページ
http://securit.gtrc.aist.go.jp/