GlobalSign 失効騒ぎ - どさにっき
■ GlobalSign 失効騒ぎ _ 先週 GlobalSign がやらかした障害について 詳細な報告書が出てた。一読してだいたい理解できたけど、字ばっかで図がないのでやっぱりわかりづらい。わかりやすくしてみる。 _ 障害発生前の状態。 +----------+ +--------+ +----------+ | Root(R1) |-----| 中間CA |------| EE証明書 | +----------+ +--------+ +----------+ | +----------+ +---------+ | Root(R2) |-----|crossroot| +----------+ +---------+ EE(エンドエンティティ)証明書ってのはサーバ証明書とかクライアント証明書とかコード署名証明書とか、要するに一般ユーザが買う証明書のこと。通常は EE - 中間 CA
サブドメイン管理者が親ドメインの SSL 証明書を取得する:どさにっき
■ サブドメイン管理者が親ドメインの SSL 証明書を取得する _ 中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明。サブドメインの管理権限がある人が親ドメインの SSL 証明書が取得できちゃったんだって。この問題、他の CA でもあるんだよね、実は。 _ 具体的に言うと Let's Encrypt がそれ。 この記述。example.com ドメインの所有者かどうか判断する方法のひとつとして、_acme-challenge.example.com の TXT レコードに指定のトークンを記述せよ、というのが挙げられている。ということで、ユーザが自由にサブドメインを作れるサービス上で _acme-challenge というサブドメインを作成すれば親ドメインの証明書を発行してもらえる。今回の WoSign の件のように任意のサブドメインでいけるわけではなく、ラベルにアン
<Limit> の危険
<Limit> は使うな メソッドごとに異なるアクセス制御が必要になることがいったいどれだけあるというのか? Apache の各種ディレクティブのうち、もっとも間違った使い方をされていると思われ、しかも危険なディレクティブである <Limit> について。 てっとりばやく、まずは正しい設定を メソッドとは? <Limit GET> の突破 <Limit GET POST> の突破 まとめと補遺 こちらもあわせて参照されたい。10年前なら正しかったんだけどね…。 てっとりばやく、まずは正しい設定を 長ったらしい文章を読む気になれないとか、書いてあることの意味がよくわからないという人は、とりあえずこの節だけ読んで手元の httpd.conf、.htaccess を修正すべし。 google で検索してひっかかったページにそう書いてあったから自分も真似しただけ、という人は、 <Limit ???
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
