プライベートルート証明書・中間証明書・サーバ証明書の作り方 - Apache 2.4系でHTTP/2対応サーバを構築してみるテスト。
[2016年12月8日版] プライベート認証局を作ってみようと思います。 一般の認証局のルート証明書は、OSやブラウザにインストールされた状態で、パソコンやスマートフォンが出荷されています。そのため、他人のパソコンやスマートフォンに対しても効力のある証明書を発行できます。 一方、プライベート認証局のルート証明書は、OSやブラウザに含まれて出荷されるわけではないので、他人のパソコンやスマートフォンに対するサービスには使用できません。 自分で、プライベート認証局のルート証明書をOSやブラウザにインストールしてから使うことになります。 きっかけとしては、Cisco社のWebVPNを利用するため、OpenSSLを使って、自分で簡単な認証局を作ってみました。 WebVPNを使いたい方は、このページを読んでから、以下のページをご覧ください。 認証局を作って、プライベートルート証明書から、サーバ証明書を
サーバー証明書に自己署名証明書を使っているとブラウザが警告を表示しますが、クライアント PC に証明書をインストールしても Chrome だけは警告が消えませんでした。 Chrome はコモンネームではなく SAN(Subject Alternative Name) をチェックしているからだそうです。(Chrome 58 以降) そこで、以前 OpenSSL を使って自己署名証明書を作成しましたが、 - [OpenSSL を使って自己署名証明書を作成する](http://kuttsun.blogspot.com/2018/04/openssl.html) 今回はこれに SAN を加える方法です。 細かい説明は以前の記事(上記)に書いてあるので、ここでは実行するコマンドのみを載せたいと思います。 ## SAN 用のテキストファイルを用意 事前準備として、以下のように SAN の内容を記述した
モバイルアプリに対する脅威にはどのようなものがあるか
はじめに 2007年に初代のiPhone、その翌年の2008年に世界初のAndroid搭載スマートフォンが発売されてからモバイルデバイスは爆発的にその台数を増やし、いまでは持っていて当たり前と言えるほどのツールとして普及しました。モバイルデバイスはその携帯性の良さから日常の様々なシチューションで利用されますが、それに伴って多くの脅威にもさらされています。しかし、その脅威についての理解はさほど広まっていないように感じます。 私はこれまでモバイルアプリの脆弱性診断を数年経験してきましたが、検出した脆弱性の報告を受けても脅威やリスクの分析を行わず、"とりあえず指摘されたから改修する"というスタンスのクライアントも多くいらっしゃいます。それ自体を否定するつもりはありませんが、あるべき姿としてはやはり、どのような脅威が存在し、どのような条件が揃った際に脆弱性を悪用されリスクが生じるのかを理解したうえ
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回は3件のトピックを取り上げる。Windowsの脆弱性と厚労省の偽サイト、TLSサーバー証明書ベンダーのシステム障害である。 MSは定例外のパッチを提供(3月12日) 米マイクロソフト(Microsoft)は定例外の修正プログラム(パッチ)を公開した。同社は米国時間の毎月第2火曜日に定例のパッチを公開している。今回のパッチは2020年3月11日(日本時間)の定例パッチを公開した直後に公開された。それだけ緊急性が高かったといえる。 提供されたパッチは、ファイルやプリンターなどをネットワーク上で共有するWindowsのサービス「Server Message Block(SMB)」の脆弱性(CVE-2020-0796)を修正するもの。Windows 10やWindows Sev
Amazonや楽天などをかたるフィッシングメールが急増している。フィッシング詐欺に関する情報を収集・発信している「フィッシング対策協議会」によると、報告数は2020年1月が6653件だったのに対し、12月には3万2171件と1年で5倍近く増加しているという。同協議会の吉岡道明さん(シニアアナリスト)は、原因としてコロナ禍に伴う在宅勤務の広まりやECサイトの利用増が考えられると話す。 「報告のあったメールはユーザー規模の多いAmazon.comやAmazon.co.jpをかたるものが最多。楽天も含めるとECサイト絡みの報告件数のほとんどを占める」 フィッシングメールを送る側も、送信数を増やすために新たな手口を採用した可能性がある。吉岡さんはメールの報告件数が増えた背景をこう分析する。 「フィッシングメールの種類はあまり増えていないが、(1種類あたりの)送信の頻度が以前よりも増えている。送信者
ソフトウェアエンジニア歴そろそろ1年だしまとめる。 暗号方式2種類 (1)秘密鍵(共通鍵)暗号方式 HS256 (HMAC with SHA-256)はそのアルゴリズムの一つ(?) クライアント側とサーバー側が共通のSecretKeyを持つ。 JWT, HTTPS通信の実際のやり取りで使われる 公開鍵暗号方式より高速(1/1000)で暗号化、復号の処理ができると言われている。 (2)公開鍵暗号方式 非対称アルゴリズム(公開鍵と秘密鍵を使用) 実現したいのは「公開鍵で暗号化したものが秘密鍵を持つ人間にしか復号できない」こと このため、キーペアを発行するのはメッセージの受信者。 公開鍵暗号方式の中で「秘密鍵で暗号化、公開鍵で復元」(通常と真逆)ということができるのはRSA方式のみであり、他の公開鍵方式では不可能 JWT, デジタル署名、SSH接続、HTTPSの接続の確率に使われる 暗号化を用い
この記事は「つながる勉強会 Advent Calendar 2022」の19日目の記事です。 18日目の記事は@daishimanさんの以下の記事でした! (勉強になりました…!) 今回は、既存のWebアプリをSSL化する機会があったので、その時の手順をまとめました。 Let’s Encryptを使用し、SSL証明書の取得、自動更新処理の実装まで行います。 目次 ・前提 ・Let’s Encryptとは ・手順 1. SSL証明書を取得 1-1. SSL証明書取得の準備(docker-compose.ymlを編集) 1-2. SSL証明書を取得 1-3. SSL証明書を確認 2. httpsで接続 2-1. nginxの設定ファイルにhttpsの設定を追加 2-2. httpsで接続できるか確認 3. 自動更新処理を実装 3-1. 更新コマンドの動作確認 3-2. cronを設定 ・参考
Let’s EncryptによるSSLサーバー証明書の取得、自動更新設定(Snapを使用しない版) | 稲葉サーバーデザイン
北海道札幌市在住、サーバー専門のフリーランスエンジニアです。クラウドサービスを利用してWebサイト、ITシステムのサーバー構成設計とサーバー構築を行います。 1. はじめに 2021年3月に、 「Let’s EncryptによるSSLサーバー証明書の取得、自動更新設定(2021年3月版)」 という記事を書きました。 この方法では、Let’s Encryptのクライアントコマンドのcertbotをインストールするために、Snap (Snappy) というソフトウェアパッケージ管理システムを使用しました。 しかし、このSnap (Snappy) 版certbotのしくみでは、以下の点が気になっていました。 Snap環境全体で1~2GBほどディスクを使用する。 証明書更新タイミングを制御できない。 更新処理のログがわかりにくい。 snapdが常駐することで、20MBほどメモリを使用する。 1.
2021年1月28日よりウェブアクセラレータで米国の非営利団体ISRG(Internet Security Research Group)が運営する無料のSSLサーバー証明書「Let’s Encrypt」をコントロールパネル上で簡単に設定できる機能を提供開始いたしました。 Let’s Encrypt 自動更新証明書機能 「Let’s Encrypt」は、ドメイン名の使用権限を確認して発行するドメイン認証(DV)タイプの無料のSSL証明書です。発行スピードも早く、独自ドメインをご利用中であればどなたでも発行できます。コントロールパネルから簡単に発行・設定可能なほか、通常必要な90日ごとの更新作業も自動的に行われます。 Let’s Encrypt 自動更新証明書はウェブアクセラレータ側で発行・登録及び自動更新するため、お客様ご自身で用意したSSL証明書の手動によるインポート・更新作業の手間も省
SSL証明書の有効期限切れを防ごう!防ぐためにできる5つのTipsとは? 「エラーが出てサイトが表示されません!」というお問い合わせのうち、実はSSL証明書の有効期限切れが原因というパターンが年々増えています。今回はSSL証明書の有効期限を切らさないコツをご紹介します。 SSL証明書の有効期限が切れると何が起きるのか? SSLサーバー証明書(以下、SSL証明書)は有効期限が必ず設定されており、現在世の中で利用されているものは最長で2年以内に設定されています。しかし、2020年9月よりあとに発行された有効期限が398日以上のSSL証明書は多くのブラウザで利用できないため、現在購入できるSSL証明書は最長1年(397日=約13ヶ月)となっています。 SSL証明書の有効期限が切れた場合に何が起きるのか?と言うと、ウェブサイトで利用している場合は単純にサイトが閲覧できなくなってしまいます。一般的に
Keycloakを用いたハードニングの実装方法
実際に設定していきます。通信をTLSで暗号化するために、ここではプライベート認証局を設けてサーバ証明書に署名を入れます。本番環境では信頼のおけるパブリック認証局に署名をもらってください。まずは、任意のホストをプライベート認証局として準備します。keytoolコマンドを用いて作成した証明書発行要求に署名できるように、opensslの設定ファイル(/etc/pki/tls/openssl.cnf)を変更します。
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | サーバ証明書の有効期限の短縮について 公開のお知らせ
~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~
(引用)Elastic Load Balancing の特徴 ELBの全体的なイメージ シンプルなイメージでELBで使われる用語を紹介します。 (引用元)20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB) リスナー:LBがListenするプロトコルとポート番号、LBからターゲットへの接続用のプロトコルとポート番号などを設定 ターゲット:LBがトラフィックを転送するEC2インスタンスなどのリソースやエンドポイント ELBの使い方 よく使われる構成を紹介します。 (引用元)20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB) ポイント AWSのベストプラクティスとして複数のアベイラビリティゾーンに跨ってELBを配置している ELB
災害時TOP画面 | 災害用伝言板(web171)
石川県能登地方の地震に伴い災害運用を開始しました。 ■SSLサーバ証明書移行について 2020年5月1日より、web171はSSLサーバ証明書方式をSHA-2方式へ完全移行します。 SHA-2方式に未対応のご利用環境をお使いのお客さまにおかれましては、「災害用伝言ダイヤル(171)」のご利用をお願い致します。 詳細は以下に掲載のお知らせをご確認ください。 NTT東日本(https://www.ntt-east.co.jp/info/detail/200327_01.html) NTT西日本(https://www.ntt-west.co.jp/info/support/ oshirase20200327.html)
皆様こんにちは。 寝起きの朝がこの世の終わりのように辛い、システムソリューション部所属のなかです。 今回は下記の記事に続く、opensslコマンドでSSL証明書を確認する系の第2弾な記事です。 前回の記事では、証明書で一番意識するであろう「有効期限」の確認に絞った内容でした。 opensslコマンドでの証明書の有効期限の確認方法・オプション解説 証明書を「新規」・「更新」にかかわらず発行した際は「整合性」の確認が重要です。 「整合性」についてopensslコマンドで確認する方法の説明が1点 証明書を適用後、証明書が認証局での「検証」が成功しているかも確認した方がよいため、 「検証」に問題がないかをopensslコマンドで確認する方法の説明で1点 今回の記事は、上記の2点をテーマに 「opensslコマンドでの証明書の整合性と検証結果の確認方法・オプションについて解説」 「確認方法についてな
特徴を知る 制約の確認 対応OSに縛りがある Supported Operating Systemsを参照し対応しているか確認する必要がある 移行対象サーバー全てに エージェント導入が必要 制御系とデータ転送の2つの通信経路がある 前者の制御系はクラウドにある CloudEndure のサービス本体と通信する必要があり インターネット通信が必須 となる データ転送はインターネットと閉域網の双方が利用できる。閉域網の場合は Direct Connect や VPN を事前に張っておく必要がある 無償利用できるがライセンス期間は90日である 動作機序 ざっくりとした動作は以下となります。 CloudEndure は移行元サーバー導入したエージェントを介してディスクイメージを転送する データ転送制御のためクラウド上のCloudEndureサービスと通信を行う データ転送を開始するとディスクイメー
メールの脇にブランドロゴを表示する「BIMI」がもたらすビジネス価値とは | ScanNetSecurity
BIMI は 3 つの観点で「可視化」を提供する。 まずは「正当性」。前述の通り DMARC の検証によって送信元を詐称したメールを隔離・拒否し、エンドユーザーに届いたメールが正しいメールであることを可視化する。 次に「視認性」。差出人の頭文字を表示する部分に送信者のブランドロゴやトレードマークを表示することで、ユーザーが正しいメールを視認しやすくなる。 そして 3 つ目は、ロゴ画像の所有者を示す「所有証明」。攻撃者の中には、ロゴ画像をコピーして詐称を試みるケースがあるかもしれないが、BIMI は厳密な手続きを経た証明書によって「ドメインを所有している会社」と「ロゴ画像の所有者」が一致していることを確認できるようになっている。 受信メールにロゴ画像を表示させることで、正しい送信元から届いたメールであることを視覚的にわかりやすく示す仕組みは、国内でも Yahoo!メールの他、ニフティや So
今回の最終目的はSSL(サーバー)証明書の取得 ドメインの取得って? ではレンタルサーバーって? やりたいこと 独自ドメインの取得 まとめ 今回の最終目的はSSL(サーバー)証明書の取得 今回、WordpressでWebサイトを幾つか作り、外出先から見れる様にサイトを立ち上げようかと軽い思い付きから始まった。ところがちょっとした勘違いで思いのほか時間ばかり食ってしまい、もう少しでマウスを投げつけ諦めるところだった。知っているつもりでも知らない事は沢山ありますね。 ドメインの取得って? もちろん知っていますよ! WEBサイトやBLOGの名前に独自の名前を付ける事ですよね・・・ 〇〇.com や www.××.jp など〇〇や××のところです。 ではレンタルサーバーって? バカにしちゃあいけません! WEBサイトやBLOGの保存場所ですよね・・・ やりたいこと 作ったサイトがどこからでも見れる
ざっくりSSL/TLS
# ざっくりSSL/TLS 2018/02/05 セキュリティ 最近おしごとがインフラ屋さんではなくセキュリティ屋さん的な様相を帯びてきました。その中でも、暗号技術について「これはつかっちゃだめ、これを使いなさい」程度のことは言えるけど、それがなぜなのかはあんまり自信を持って言えなかったのが昨年末くらいの悩みでした。ちょっと勉強したのでまとめます。間違いが多々ありそうなので随時更新予定。 # SSL/TLSとは Secure Sockets LayerないしはTransport Layer Security。トランスポート層とアプリケーション層の狭間のプレゼンテーション層に存在する暗号化プロトコル。狭間なので既存のTCP/IPプロトコルスタックの上下を変更しなくていいのが強み。既存のAPの通信の暗号化も比較的簡単で、FW制御もしやすい。そのかわり、より低階層で暗号化を行うプロトコル、例えば
当エントリは弊社AWS事業本部による『AWS 入門ブログリレー 2024』の19日目のエントリです。 このブログリレーの企画は、普段 AWS サービスについて最新のネタ・深い/細かいテーマを主に書き連ねてきたメンバーの手によって、 今一度初心に返って、基本的な部分を見つめ直してみよう、解説してみようというコンセプトが含まれています。 AWS をこれから学ぼう!という方にとっては文字通りの入門記事として、またすでに AWS を活用されている方にとっても AWS サービスの再発見や 2024 年のサービスアップデートのキャッチアップの場となればと考えておりますので、ぜひ最後までお付合い頂ければ幸いです。 では、さっそくいってみましょう。今回のテーマは『AWS App Runner』です。 はじめに 私は2022年にAWS App Runner(以後 App Runner)の入門記事を書いており
TL;DR IPアドレス直打ち(e.g. https://192.168.1.1/ ) でアクセスするための証明書を作るときには、 下記にIPアドレスを設定しよう。 CN (Common Name) SAN (Subject Alternative Name) DNS SAN IP はじめに IPアドレス直打ちでアクセスする、クローズドなウェブシステム構築時、 証明書検証エラーが発生しないサーバ証明書の作り方に四苦八苦したので、メモ。 (みんなこんなの常識なのかな・・・) Internet Explorer のIPアドレスアクセス時の証明書検証手続き SAN が設定されていない場合 CN がIPアドレスと一致しているかを検証、不一致ならエラー SAN が設定されている場合 SAN DNS がIPアドレスと一致しているかを検証、不一致ならエラー IPではない!! Google Chrome
WebAuthn の Attestation
WebAuthn の Attestationwatahani4 MinutesNovember 19, 2018 AttestationWebAuthn に関して、認証の世界で生きてこなかった私が最も取っつきづらかった概念である Attestation について改めてまとめておこうと思う。 たぶんあってると思うんだけど、なにせ認証の世界は難しい。 何か間違いや考え違いがあったら @watahani まで連絡をくれたらうれしい。 はじめにWebAuthn で利用される FIDO 認証は、シンプルにいえば単なる公開鍵を利用した認証だ。TLS なんかで利用されるアレ。あまり詳しくない人(ワイのことな)のために概要を書くと、ユーザーが持っている秘密鍵とサーバーに保存される公開鍵(キーペア)を利用して認証をする。サーバーからはチャレンジと呼ばれるランダムな文字列が送られ、ユーザーが持っている秘密鍵で
この本の概要 TCP/IP&ネットワークコマンドの解説書。『Linux×コマンド入門』(技術評論社,2021/04),『macOS×コマンド入門』(技術評論社,2020/4)の姉妹本です。 本書では,TCP/IP&ネットワークの今の基本を押さえ,ネットワークコマンドや各種ツールの基礎知識や作法を平易に解説。コマンドやWiresharkなどのツールを使って,TCP/IPのしくみ&ネットワークの基本概念を手を動かして実際の動作を見ながら学べる点が特徴です。動作確認環境としてはLinux(Ubuntu)を中心に,Windows/WSL2,macOSに対応。コマンドラインがはじめての方でも試せるようにサポートサイトも用意しました。変わる基本,変わらない基本を広く初学者の方々へ。スマートフォン,Wi-Fi,無線通信をはじめとしたコンピューターネットワークの今を気軽に体感できる1冊です。 こんな方にお
![TCP/IP&ネットワークコマンド入門 ──プロトコルとインターネット、基本の力[Linux/Windows/macOS対応]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d1c5192047941712b8532f819382ec9734cd7a2/height=288;version=1;width=512/https%3A%2F%2Fimage.gihyo.co.jp%2Fassets%2Fimages%2Fogp%2F2024%2F9784297141325.jpg)
ブラウジングしているとたまに表示される証明書エラー画面ですが、あれはなぜ起こるのでしょうか。今回はクライアント証明書とサーバ証明書の違いを中心に、証明書エラーの原因と対策などをご紹介していきたいと思います。 1.1 SSL/TSLとは SSLとは「Secure Sockets Layer」の略であり、セキュアなインターネット通信を行うためのプロトコルです。クライアントPCとサーバ間のデータのやり取りを暗号化することによって、第三者のアクセスを防いでいます。 TSLとは「Transport Layer Security」の略であり、簡単に言うとSSLの後継技術です。SSL最後のバージョンであるSSL3.0をベースとして開発されたTSL1.0が1999年に誕生しましたが、SSLという名称が広く普及していたため今でも「SSL/TSL」や単に「SSL」という名称が便宜的に各所で残されています。 な
Let's Encrypt は、クライアントソフトウェア「Certbot」を使用することで、SSL/TLS サーバ証明書の取得・更新作業を自動化できる仕組みになっています。 独自ドメインがあれば、簡単なコマンド操作で SSL/TLS 証明書(無料)を取得できます。 ※一般の認証局で SSL/TLS サーバ証明書を取得する場合とは異なり、秘密鍵・公開鍵・署名リクエスト(CSR)を手動で生成する必要はありません。これらの作業は、Certbot クライアントが自動的に行います。 ※Certbot 以外の ACME クライアント (英文) を使用して Let's Encrypt の証明書を取得することも可能です。 より詳しく知りたい方へ このページでは、Certbot クライアント(旧・Let's Encrypt クライアント)のプラグイン Webroot または Standalone を使用して
スマートなVPN環境の作り方!|kaname
現代社会に蔓延る、社内のシステムへアクセスする際の古い慣習… 。 そう、社内のNWに穴開けてアクセスするアレ…そうVPN! 管理が面倒ですよね 「 ん?エラー?何も見なかったことにしよう… 」 「 え?社内のシステムにアクセスできない?調子悪いんですかねー… 」 「 なになに?ファームウェアの脆弱性?気のせいだ」 「 今日リモートなんで、実機確認できないんですよ 」 なんて言った事ないですか?ぼくは無いです…🙇♂️ …はい!スマートにしましょう! これまでに困った事クライアントVPNの利用方法は、 「重要なシステムへのアクセスを特定のNWからのみに制限する」 という用途が多いので、慎重に扱わないといけないと思ってます。 特に下記のようなケースが気になります ・NW機器の障害による停止 オフィスが突然の停電でNW機器が落ち、VPNアクセスできなくなり、業務ができなくなった。 ・認証情報の
はじめに こんにちは、CTO室でコーポレートエンジニアしている垣内(@kakinotane)です。 普段は社内ネットワークの管理やIT統制、社内で利用するシステムに関する諸々を担当しております。 昨今(2020年9月現在)の情勢により、様々な企業がテレワークの導入を進めている中で、 セキュアな社内ネットワークやサービスへの接続方法として、VPNを導入している企業も多いかと思います。 そんな中、弊社も例に漏れず、このタイミングでAWS Client VPNを導入してみました。 (AWS Client VPNの詳しい説明は以下となります。) https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/what-is.html 今回は、そんなAWS Client VPNの導入に関するお話をしていきます。 結論から言ってしまえば、「こん
Amazon Linux 2023からRDS MySQLに接続するときにMariaDBを使う方法 | DevelopersIO
こんにちは。CX事業本部Delivery部のakkyです。 以前、Amazon Linux 2023でMySQL Clientを使う記事を掲載しました。 多くの方にご覧いただいていますが、この方法で注意していただきたい点として、MySQLはAmazon Linux 2023のリポジトリ外のパッケージとなるため、AWSからのサポートが得られないということがあります。 AWSでは、RDS MySQLへの接続にはMariaDBを使用することをドキュメントで案内しています。 MariaDBは、クライアントプロトコルに関してはMySQLと互換性があることがドキュメントに記載されています。 また、認証プラグインに関しても、クライアント側でSHA-256がサポートされていますので、MySQL8.0への接続も問題ありません。 インストール方法 次のコマンドでインストールできます。 sudo dnf -y
関連キーワード Apache | サーバ | 脆弱性 2021年10月4日(現地時間)、Apache Software FoundationはWebサーバソフトウェア「Apache HTTP Server」の脆弱(ぜいじゃく)性「CVE-2021-41773」の存在を公開し、パッチを提供した。セキュリティツールベンダーcPanelのセキュリティチームに所属するアッシュ・ドールトン氏がこのCVE-2021-41773を発見し、Apache Software Foundationに報告した。 パッチ適用を急がなければいけない理由 併せて読みたいお薦め記事 さまざまな脆弱性 セキュリティ研究家が“怒り”の公開 Apple「iOS」3つの脆弱性とは 「Exchange」の“設計上のミス”が招いた情報漏えいとは? 無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”
RFC8879 TLS Certificate Compression について - ASnoKaze blog
「RFC8879 TLS Certificate Compression」が昨日公開されました。 これは、TLSハンドシェイク中に送信されるサーバ証明書を圧縮する仕組みを定義しています。 これによって、ハンドシェイクの通信量を削減できます。ハンドシェイク中は、パケットロスが起こっても後続のパケットは多くないのでロスリカバリとしては不利な状況です。ハンドシェイクに必要なパケット数が減るというのはメリットが有るのかなと思います。 また、QUIC(HTTP/3)においてもTLSハンドシェイクを利用していますが、QUICではClient Address Validationが終わるまで一度に送れる通信量に制限があるため、通信量が減ることはそういった意味でもメリットがあります。 この点については、FastlyのPatrick McManus氏がブログを書かれています。実際に送信されるパケット数がどう
Webサイトの保守運用を全て解説!【作って終わりではない】 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
こんにちは、株式会社LIG、Webディレクターのセイタです。 さて今回は、制作したWebサイトの公開後に訪れる、保守運用について全てを徹底解説します。 「長い道のりを経て、ついにWebサイトを公開! あとは放っておけばOK!」ではないのがWebサイトを考えるうえで大切なところ。公開後にしっかりと保守運用を続けることが必須なのです。 株式会社LIGとは 2009年設立のWeb制作会社。年間150サイト制作。これまで国内外において30以上のWebデザインアワードを受賞。複数の海外拠点を生かしたシステム開発力も強み。 もちろん保守運用もお任せ!ぜひご相談ください 👉Web制作の実績・お問い合わせはこちら Webサイトの公開は「完成」ではないんです! 目的を実現するためのWebサイトとして公開できるよう要件定義からはじまり、デザイン・実装・テストを経て、ついに公開!プロジェクトメンバーの皆さん、
初めまして。朝日ネットのhakuです。今回はわかるようでよくわからないSSL証明書について話してみたいと思います。 Protocol HTTPとHTTPS SSLとTLS 暗号化アルゴリズムのCipher Suite(暗号スイート) 証明書の構成 ルート証明書 中間証明書 サーバ証明書 クロスルート証明書 認証別証明書の種類 自己署名証明書(通称:オレオレ証明書) DV証明書 ドメイン認証(DV: Domain Validation) OV証明書 企業認証(OV: Organization Validation) EV証明書(Extended Validation) 認証別証明書の疑問 サービス別証明書の種類 ワイルドカード証明書 マルチドメイン証明書 (MDC) プロトコル側の対応:SNI(Server Name Indication) ネイキッドドメイン(Naked Domain) ま
とあるシステムを作るのに、ESP32とSinatraを使っている。 いずれ外部に公開するということ、今時はhttpsが普通だということもあって、ESP32からSinatraへのアクセスもhttpsを使うことにした。 まだローカルで試している段階なので、オレオレ証明書(自己署名証明書)を使って試そうとしていたのだが、これが一筋縄では行かなかったのでメモ。 実はESP32でhttpsを使う事例は、ちょっとググればいくらでも出て来る。なので、それ自体はそんなに難しいことではない。何らかの方法でサーバの証明書を手に入れ、それをクライアントに組み込めば良い。 extern esp_http_client_handle_t initialize_httpc(void) { esp_http_client_handle_t client; esp_http_client_config_t config
SSOやSAMLといった、主に大、中企業向けのID連携の話になります。 今回はそんななかオープンに実装できそうなSAML認証を実装すべく まずはIDプロバイダーとなるOpenAMという物をDockerで立ち上げてみたいと思います。 準備する物 dockerdocker-composeOpenAMを稼働させるためのドメイン名 ※ローカルでやる場合は、hostsに設定 ※サーバ証明書作成の時にもこのドメイン名を使う OpenAMのDockerイメージですが、今回は https://hub.docker.com/r/vault/openam こちらのイメージを使ってみます。 基本的には、overviewに書かれているとおりやれば起動する。。。。。。。 と思うのですが、このvault/openamのoverviewはちょっと端折りすぎているので手順を順を追って試してみようと思います。 OpenAM
AWS Client VPN の OpenVPN 設定ファイルの内訳を確認してみた | DevelopersIO
コンバンハ、千葉(幸)です。 AWS Client VPN では、OpenVPN ベースのクライアントを使用できます。 クライアントのセットアップの一環として「プロファイル」を作成する際には、VPN クライアント設定ファイルを読み込ませます。この設定ファイルは、AWS マネジメントコンソールからダウンロードしたものを使用するのが一般的です。この設定ファイルも OpenVPN ベースです。 特に OpenVPN に詳しくなくても AWS Client VPN のセットアップに困ることはないのですが、ふとしたときに設定ファイルを眺めることがありました。 それぞれの設定値の意味を確認したいとき、AWS ドキュメントではなく OpenVPN 関連のマニュアルを参照する必要があります。 せっかくなので調べた内容をこのブログにまとめておきます。 OpenVPN 設定ファイルのマニュアル 設定項目の意味
AWS Client VPNの認証方式がシングルサインオン (SAML 2.0 のフェデレーション認証)の場合、OpenVPN easy-rsaの証明書の作成と更新手順まとめ | DevelopersIO
AWS Client VPNの認証方式がシングルサインオン (SAML 2.0 のフェデレーション認証)の場合、OpenVPN easy-rsaの証明書の作成と更新手順まとめ はじめに AWS Client VPNの認証方式がSSO認証の場合、OpenVPN easy-rsaを使用して自己証明書を更新する方法が分からなかったため、作成と更新の手順をまとめました。 証明書の作成と更新方法については、相互認証の場合は様々な参考記事がありますが、SSO認証の場合は参考記事がなく、作成および更新の手順が異なります。 相互認証の場合、クライアント証明書とサーバー証明書の両方が必要ですが、SSO認証の場合はサーバー証明書のみの作成で十分です。 したがって、SSO認証で必要なサーバー証明書の作成と更新手順について説明します。 構成図 構成は以下のようになります。Client VPNを使用してVPC経由で
【Ubuntu+Nginx】Let's EncryptでSSL証明書を発行してhttps通信を行う - Qiita
この記事について Ubuntu+Nginxの環境(サーバはさくらVPSを使用)でLet's Encryptを使用して、コストをかけずにSSL証明書を発行してhttps通信を行いましたので、設定手順を記録として残したいと思います。 対象読者 独自ドメインに対してSSL通信を可能としたい方 コストをかけずにSSL証明書を発行したい方 (サーバの用意・OSのインストールは完了しているものとします。) 環境 $ cat /etc/os-release NAME="Ubuntu" VERSION="20.04.1 LTS (Focal Fossa)" PRETTY_NAME="Ubuntu 20.04.1 LTS" VERSION_ID="20.04" $ certbot --version certbot 0.40.0 $ nginx -v nginx version: nginx/1.18.0
TLS Encrypted Client Hello の暗号化(ECH)に関するメモ - ASnoKaze blog
2020/07/19 追記 最新版では仕様名が encrypting the entire ClientHello (ECHO)から、TLS Encrypted Client Hello(ECH) に変更されました 広域盗聴行為(RFC7258)への対策として、通信の暗号化が行われています。 TLS1.3からは、サーバ側証明書は暗号化されるようになり、観測者が得られる情報はIPアドレスやSNIから得られるホスト名などになりました。 このSNIの情報も暗号化するために、さまざな議論が行われました。その中で出てきた提案として「Encrypted Server Name Indication for TLS 1.3」という提案仕様があります。 この仕様はすでに、TLS WGでWG Draftとなっており第6版まで出てます。版が進む中で幾つかの変更があり、HTTPSSVCレコードの利用や、encr
OSS研究室 加茂 智之 今回は、証明書の失効を確認するためのプロトコルのOCSPと、OCSPレスポンダソフトウェアのOpenCA OCSPDを紹介します。 OCSPについて COCSPの概要 公開鍵基盤 (PKI) において、認証局 (CA) が発行した証明書を失効させる場合、認証局は証明書失効リスト (Certificate Revocation List, CRL) を作成しCRLにその証明書のシリアル番号を掲載します。ユーザはCRLを参照することにより、証明書が有効であるか否かを確認することができます。CRLの大きさは増加する一方です。また1つの証明書が有効か否かを確認するのにCRL全体を入手する必要があります。 これらの問題を改善するために考案されたのがOCSP(Online Certificate Status Protocol)です。OCSPでは「OCSPレスポンダ」と呼ばれ
話題の「Telnet」電子公告、「平文やんけ」という指摘に応えて「over SSL」版を追加(窓の杜) - Yahoo!ニュース
「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。 【画像】「TELNET over SSL」版電子公告を閲覧するために「OpenSSL」をインストール 昨日、一般社団法人サイバー技術・インターネット自由研究会の電子公告が「Telnet」で行われていることをお伝えしましたが、「セキュリティを謳っているくせに平文通信じゃん」というクレームがついた模様。それに応えて、さっそく「TELNET over SSL」版が公開されたそうです。 Windows 11環境で「TELNET over SSL」版の電子公告を閲覧するには、「OpenSSL」が必要。「コマンド プロンプト」などに以下のコマンドを打ち込んで、サクッとインストールしましょう。 winget install openssl ちなみに「winget」というのは、Microsoftが開発しているWindowsプ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSL で SAN 付きの自己署名証明書を作成する
凶悪「WannaCry」が悪用したWindowsのあのサービスに再び脆弱性
大手ECなどかたるフィッシングメール、1年で5倍に 被害に遭わないためには?
そろそろ暗号方式やらデジタル署名やらを理解する - Qiita
Let’s Encryptを使用しDocker+nginxのアプリをSSL化した手順 - Qiita
ウェブアクセラレータで Let’s Encrypt 自動更新証明書機能を提供開始しました
SSL証明書の有効期限切れを防ごう!防ぐためにできる5つのTipsとは? | さくらのSSL
AWS再入門ブログリレー Elastic Load Balancing編 | DevelopersIO
opensslコマンドでの証明書の整合性と検証結果の確認方法・オプション解説 | 株式会社ビヨンド
CloudEndure Migration を使ったAWS移行を計画する | DevelopersIO
独自ドメインを40円/年で取得したのは良いけど・・・ - DoError
AWS入門ブログリレー2024〜AWS App Runner編〜 | DevelopersIO
IPアドレスでHTTPSアクセスするための証明書の作り方 - Qiita
TCP/IP&ネットワークコマンド入門 ──プロトコルとインターネット、基本の力[Linux/Windows/macOS対応]
クライアント証明書とサーバ証明書の違いとは - プロエンジニア
Let's Encrypt の使い方 - Let's Encrypt 総合ポータル
AWS Client VPNを社内で導入したら快適になったお話 | giftee engineer blog
「Apache HTTP Server」に脆弱性 専門家がパッチ適用を“強く推奨”の理由
意外と知らないSSL証明書の話 - 朝日ネット 技術者ブログ
ESP32とオレオレ証明書 | おごちゃんの雑文
OpenAMをDockerで立ち上げる(俺俺認証編) | GENDOSU@NET
OCSPレスポンダソフトウェアのOSS〜OpenCA OCSPD〜 | OSSのデージーネット