タグ

securityとsslに関するomomomのブックマーク (5)

  • JVNVU#95668716: OpenSSL の DH プロトコルにおける脆弱性

    OpenSSL には、Diffie-Hellman (DH) プロトコルに「安全素数」でない素数を使用することで、暗号化に使用する鍵を特定される脆弱性が存在します。 暗号化処理の不備 (CWE-325) - CVE-2016-0701 OpenSSL 1.0.2 では、RFC 5114 で指定されているパラメータを X9.42 形式で生成する機能が実装されています。この機能で生成される素数は、「安全素数」になるとは限りません。「安全素数」でない場合に攻撃可能な手法が知られており、暗号化に使用する鍵を取得される可能性があります。 さらに OpenSSL のデフォルト設定では、プロセスが終了するまで、生成された素数を再利用します。これにより、TLS のように Diffie-Hellman (DH) プロトコルを使用するアプリケーションは、攻撃者に秘密情報を特定され、すべての通信内容を復号される

  • OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記

    TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア

    OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
  • HTTPS移行後に外部リンクのURLを https:// に変更する必要はない

    [レベル: 上級] 常時HTTPSへ移行した際に、外部サイトから張られているリンクのURLを https:// で始まるURLにわざわざ更新する必要はありません。 GoogleのGary Illyes(ゲイリー・イリーズ)氏は、Twitterユーザーからの質問に次のように答えています。 @pip_net if your redirects are properly implemented, the benefit from doing that is so minimal that IMO it's not worth it. — Gary Illyes (@methode) 2015, 7月 7 HTTPSへ移行するとき、可能であれば、重要な外部リンクをSSLに変更したほうがいいと思いますか? リダイレクトが適切に実装されているなら、そうすることでプラスになるのはごくわずかだ。僕の考えで

    HTTPS移行後に外部リンクのURLを https:// に変更する必要はない
  • Redirecting to ssl-config.mozilla.org...

    Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…

    omomom
    omomom 2015/04/11
    Mozilla SSL Configuration Generator
  • 細かすぎて伝わらないSSL/TLS

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se

    細かすぎて伝わらないSSL/TLS
    omomom
    omomom 2015/01/20
  • 1