SSL証明書をSHA–1からSHA–2に更新する際にはご注意を! | さくらのナレッジ
現在SSL証明書の署名アルゴリズムがSHA–1からSHA–2へと変更になる過渡期となっています。今後はSSL証明書の新規取得や更新を行う際にはSHA–2の証明書を取得することになると思いますが、いつも通りの慣れた作業と思っていると、思わぬところでハマるかも知れません。 今回は実際に更新作業をした経験を踏まえて取得/更新作業の注意点について簡単にまとめてみました。 そもそもなぜSHA–2に移行する必要があるのか? 署名アルゴリズムがSHA–1の証明書は非推奨となり、ゆくゆくは廃止となる流れとなっています。基本的にSHA–1の証明書は2017年1月1日以降使えなくなると考えてよいでしょう。そして2016年12月31日までにSHA–2に移行する必要があります。 詳細はここで説明すると長くなりますので、次のようなSSL証明書の発行元のサイトの解説を参照してください。 SHA–1証明書の受付終了とS
無料で容易なHTTPS導入を支援する「Let's Encrypt」、2015年に運用開始へ
ハイテク業界の複数企業が参加する団体は米国時間11月18日、ウェブ上のプライバシーを例外的なことではなく常に考慮すべきものとなるよう支援するある動きを発表した。 ウェブプライバシーは、接続を暗号化し、ウェブページやウェブアプリをホストしているサーバと閲覧用ブラウザの間のネットワークを経由して送られるデータをスクランブルすることで確保される。しかし、サイト運営者にとっては、暗号化された接続を設定する上で必要不可欠な証明書を取得するには、多少の手間と費用がかかる。証明書は、ブラウザにウェブサーバの暗号化を信頼させるデジタルの仕組みを提供する。 ここで登場するのが、「Firefox」ブラウザの開発元であるMozilla、ネットワーク機器メーカーのCisco Systems、インターネットコンテンツ配信業者のAkamai Technologies、デジタル時代の権利擁護団体である電子フロンティア財
今のままではSSL通信が使えなくなる? SHA-2証明書への移行ポイント
安全神話の崩れたハッシュアルゴリズム 現在は、多くのインターネットサービスがWebを通じて提供されている。しかし昨今は、サイバー犯罪者らがWebサイトを狙うケースが頻発しており、ユーザーが安全にWebサイトを利用できるように、できるかぎり「SSL暗号化通信」を用いることが望ましい。例えばGoogleでは、検索結果を含めたすべてのWebページについて、SSL暗号化通信(HTTPS)でアクセスさせる「常時SSL化」を採用している。 SSL通信を用いると、経路上での盗聴を防ぐ「暗号化」とデータ通信途中の「改ざん検知」を同時に実現できる。 ユーザーがWebブラウザからWebサイトにSSLでアクセスすると、Webサーバからは公開鍵を付与したSSLサーバ証明書がWebブラウザに送付される。Webブラウザでは、あらかじめインストールされたルート証明書でサーバ証明書を検証し、信頼された認証局から発行された
SSL 3.0 を無効に設定する方法(POODLE対応) apache+mod_ssl, nginx - Qiita
SSL 3.0の脆弱性 CVE-2014-3566 aka POODLE の対応でSSL v3を無効にする必要あり http://www.itmedia.co.jp/news/articles/1410/15/news054.html http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/ https://www.openssl.org/~bodo/ssl-poodle.pdf Apache httpd + mod_sslなら http://httpd.apache.org/docs/2.2/mod
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
2014/10 | Microsoft Security Response Center
[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その2 Wednesday, October 29, 2014 本日、セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」でお知らせ Read More Security Advisory 3009008 updated Wednesday, October 29, 2014 Today, we announced the availability of SSL 3.0 fallback warnings in Internet Explorer (IE) 11. For more information please visit the IE blog. We have also published an update on
The POODLE Attack and the End of SSL 3.0 – Mozilla Security Blog
Summary SSL version 3.0 is no longer secure. Browsers and websites need to turn off SSLv3 and use more modern security protocols as soon as possible, in order to avoid compromising users’ private information. We have a plan to turn off SSLv3 in Firefox. This plan was developed with other browser vendors after a team at Google discovered a critical flaw in SSLv3, which can allow an attacker to extr
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
