[運用効率化] サーバー証明書の情報を一括で取得するツールを作りました | iret.media
今回は tlc3 について紹介します。 概要 Web サイトにアクセスし、TLS 証明書の情報 (期限日など) を取得します。これを使うことで、証明書更新作業前後のエビデンスをコマンド一発で取得できるようになります。名前の由来は TLS cert cheker CLI の略です。以下の特徴があります。 複数のサイトに対して並行にアクセスするので高速 現在時刻から何日後に証明書が切れるかを出力する 対象ドメインは改行区切りのテキストでも渡せる デフォルトの出力は JSON だが、マークダウンおよびバックログ形式のテーブルで出力できる ローカルの DNS リゾルバを使って名前から IP を引く (補助的な機能なので、引けない場合は何もセットしない) bash, zsh, pwsh であれば補完スクリプトを出力できる 出力する時刻はローカルのタイムゾーンで表現される (マシン依存) ランタイムを
![[運用効率化] サーバー証明書の情報を一括で取得するツールを作りました | iret.media](https://cdn-ak-scissors.b.st-hatena.com/image/square/985dff25e463f19b6904b634d91a32cc7ccfd301/height=288;version=1;width=512/https%3A%2F%2Firet.media%2Fwp-content%2Fuploads%2F2022%2F07%2Feyecatch_go-1200x630.png)
AWS:無料でSSL証明書を取得する方法 - Qiita
概要 先日公開した自分のサービスをhttps接続できるようにしたいと思いました。 SSL証明書は、どこが安くて信頼できるか社内の上司で相談したところ、近くにいたインターン生が「AWSなら無料で発行できますよ。」とナイスなアドバイスをくれました。 さっそく調べて、SSL証明書を取得したのですが、ネット上には断片的な情報しかなく思ったよりも詰まったので、これから取得する方のために、わかりやすく画像で解説します。 前提 今回は、無料でSSL証明書が利用できるAWS Certificate Manager(ACM)を使います。 アジアパシフィック (東京)は、ELB(ロードバランサー)のみにACMを使用することができます。 なので、ELBを利用していないと、無料のSSL証明書を使うことができません。 ちなみに、ELBは有料で、デフォルトで月2000円くらい掛かります。 もし使用される方は以下に設定
AWSにおけるSSL証明書の基本的な取扱い | 外道父の匠
多くの企業が、今年中にWebサービスの暗号化を進めなくてはいけなくなったかと思います。 Webに接続するiOSアプリは2017年1月からHTTPSの使用が絶対条件になる、デベロッパーはご注意を | TechCrunch Japan ということで、基本的な内容ではありますが、AWSにおけるSSL証明書の扱いについて復習してみます。 AWSで扱う証明書の種類 ここでいう種類とは、EV SSL だの ワイルドカードだの、証明書の製品としての種類ではありません。 1つは AWS Certificate Manager(以下、ACM)の無償証明書、もう1つは従来のSSLサーバ証明書販売サイトで購入する有償証明書、の2種類となります。 それぞれの証明書を、AWSのリソースにどのように登録し、運用していくかについてまとめていきます。 ACMの証明書を利用する 2016年1月にリリースされ、5月にはTok
Google Chromeの実験的ビルド「Canary」でSymantecの証明書が無効化される | スラド セキュリティ
Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた(過去記事)。このスケジュールではChrome 66でSymantecによって発行された証明書が無効化されることになっているが、これに先駆けて、開発者やアーリーアダプタに向けたGoogle Chromeの実験的ビルド「Google Chrome Canary」でSymantecやその傘下であるRapidSSLなどが発行した証明書の無効化が行われたようだ。 bonkure曰く、 Googleさんは、Chromeにおける「Symantec発行の証明書の無効化」を宣言しておりましたが、最近リリースされましたChromeのCanaryのバージョンがめでたく66となり、Googleさんは本気だったことが証明されました。スラドも見事にその毒牙にか
Let's Encrypt 総合ポータル
Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・
SNIで1台のサーバ上に複数のSSLサイトを運用 – 前編 | さくらのナレッジ
ご無沙汰しております。細羽です。 昨年、AndroidにおけるSNI対応状況という記事で、SSL/TLSの拡張仕様であるSNI(Server Name Indication)について触れました。 少しニッチなテーマだと思っていましたが、つい先日、さくらのレンタルサーバでSNI SSLを提供開始というプレスリリースが発表されました。広いサービスでSSL/TLS導入への需要が高まっている今、このような事例は今後増えていくものと考えられます。 そこで本記事では、重要度が高まっているSNIについて、その技術の概要を改めて理解し、実際の運用に役立てられるように整理をしたいと思います。 知識の整理を目的にした前編と、実践を目的にした後編の2部構成でお届けします。 以下が前編の内容です。 SNIで何が出来るようになるのか SNIで複数ドメインが運用可能になるまで SNIが重要になりつつある背景 SSL運
理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷
apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH
【ruby】net/httpでPOSTリクエスト(https)投げてみる。 - 訳も知らないで
個人で何かWebアプリ実装してみる、という時に何かのwebapiを利用することが最近多いです。 rubyでapiにhttpリクエストを投げるには、getの場合だとopen-uriを使うことが多いのですが postなど投げるときはnet/httpを使っています。 最近https(ssl)通信でリクエストを投げるというのを実装したので 忘れないようにメモ。 postメソッドリクエスト例 以下はgithub apiにリクエスト投げた時の例。 リポジトリにフックメソッドを追加するというリクエストです。 設定内容をjsonで渡す必要があったので、bodyにjsonデータをセットしています。 (ちなみにto_jsonメソッドはActiveRecord::Baseのメソッドですね確か) uri = URI.parse("https://api.github.com/repos/#{user_name}/
なぜあなたがウェブサイトをHTTPS化するとサイトが遅くなってユーザーが逃げていくのか - 射撃しつつ前転 改
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
なぜb-casは失敗してインターネットはうまくいくのか? - アンカテ
前のエントリで書いたように、b-casは用途を広げた時に前提条件が変わってしまったために、小さな「あってはならないこと」が起きただけで、手当ての方法が無くなってしまいました。 では、これと同じような見方で、インターネットそのものに「あってはならないこと」が起きた時どうなるか、について書いてみたいと思います。「インターネットそのもの」と言っても、一般の人が目にする「インターネット」の中でセキュリティをしっかり守らなければいけないのは、オンラインショッピングの時に使われる「SSL」という通信方式です。 アドレスが「https://」で始まるサイトにアクセスすると、そのアドレスの横に鍵の形の「安心マーク」が表示されます。オンラインショッピングで決済の画面やクレジットカード番号を入れる画面では必ずそうなっていると思いますが、これが今「SSL」を使っているよ、「SSL」がうまく動いているよというお知
yebo blog: OpenSSLの裏技
2011/11/30 OpenSSLの裏技 SSL/TLSを実装したツール「OpenSSL」そのものを普段使うことはないが、OpenSSLをファイルの暗号化などにも使えるよという指摘[wazi]。例えば、256ビット鍵のAESでファイルを暗号化・復号化する場合、opensslを次のように使う。 $ openssl aes-256-cbc -salt -in file-test -out file-test.aes enter aes-256-cbc encryption password: Verifying - enter aes-256-cbc encryption password: $ openssl aes-256-cbc -d -in file-test.aes -out file-test-dec enter aes-256-cbc decryption password:
yebo blog: SSLサイトの大半は脆弱である
2011/08/11 SSLサイトの大半は脆弱である セキュリティ会社のQualysが先週開催されたBlack Hatで、SSLを導入しているサイトの多くがSSL証明書の設定に問題があるため、完全に保護できていないと発表した[esecurity planet]。Qualysの研究者Ivan Ristic氏によれば、SSLで保護されているサイト30万件を分析し、SSLに関する脆弱性の有無を調べたところ、Cookieを正しく保護していなかったり、保護されているページとされていないページを混在させたりといった脆弱性が複数見つかった。例えば、SSLに正しくリダイレクトしたサイトは全体の20%で、残りの80%は危険にさらされているという。そして、ほとんどのフォームは入力したデータが暗号化されておらず、54%のサイトがログインフォームが暗号化されていなかったという。また、通信をSSLで保護しているにも
Wojno : Category Rails Snippets, everything about Rails Snippets
/public/../config/../vendor/rails/railties/lib/initializer.rb:271:in `require_frameworks': RubyGem version error: rack(1.0.0 not ~> 1.0.1) (RuntimeError) from /public/../config/../vendor/rails/railties/lib/initializer.rb:134:in `process' from /public/../config/../vendor/rails/railties/lib/initializer.rb:113:in `send' from /public/../config/../vendor/rails/railties/lib/initializer.rb:113:in `run' f
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
Page not found - ファイヤープロジェクト
The page you are trying to reach does not exist, or has been moved. Please use the menus or the search box to find what you are looking for.
シングルルートSSL証明書とは、何ですか? - SSL証明書 比較
SSLでウェブサーバにつながるとき、訪問客のブラウザはどの証明書認証局 (CA) が実際のSSL証明書を発行したのかについて、ウェブサイトのSSL証明書を信頼するべきかどうか決めます。これを決定するために、ブラウザは権限を公表して信頼されたルート証明書のリストを調べます。(ブラウザ・ベンダー(例えばマイクロソフトとネットスケープ)によって、ブラウザに加えられる信頼されたルートCA証明書の集合によって表示されます。 ほとんどのSSL 証明書は、信頼されたルートCA 証明書を所有したCAから発行されます。主要なCAが信頼された発行機関としてブラウザーベンダーに知られているように、その信頼されたルートCA証明書はすべてのポピュラーなブラウザーに既に登録されており信頼されています。このような SSL 証明書は「シングルルート(単一のルート)」SSL 証明書で知られています。 Comodoようないく
携帯電話とSSLルート証明書
おことわり DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。 SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。 DoCoMo DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。 VeriSign Class 3 Primary CA VeriSign Class 3 Primary CA G2 Verisign/RSA Secure Server CA GTE CyberTrust Root GTE CyberTrust Global Root FOMA901i/700i/8
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL Labs - Projects / Public SSL Server Database - SSL Server Test
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
個人で使うSSL - ずmemo