タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。 問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。 公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020
Googleは米国時間7月13日、「Google Cloud Certificate Authority Service(CAS)」の一般提供(GA)開始を発表した。 プロダクトマネージャーのAnoosh Saboori氏は、10月にパブリックプレビュー版を発表して以降、市場で「大いに歓迎」され、「革新的なユースケース」が見られると述べた。 Google Cloud CASは、プライベート認証局の管理やデプロイを自動化できるほか、公開鍵基盤(PKI)の管理も容易に行うことができるスケーラブルなサービスだ。Googleは、クラウドサービスの台頭や、IoTやスマートデバイスの普及、コンテナーへの移行、次世代の高速なコネクティビティの登場などにより、「デジタルな世界で証明書がかつてないほど増加していることに対応する」ために提供するプラットフォームだとしている。 CASのユーザー企業のユースケース
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ
ストーリー by nagazou 2022年03月15日 16時10分 ますますロシア国外情報にアクセスしにくくなりそう 部門より ロシアが独自のTLS認証局を創設したとの報道が出ている。ロシアは現在、ウクライナ侵略を受けて世界各国からさまざまな制裁を受けているが、欧米の企業や政府による制裁措置により、既存のTLS証明書を更新することができない状況に陥っている。証明書の有効期限が切れてしまえば、ブラウザ側でサイトへのアクセスがブロックされてしまう。このため独自のTLS認証局を創設し、期限切れもしくは無効化された場合の代替となる証明書を無料で発行するとしている(Bleeping Computer、TECH+)。 ロシアの公共サービスポータルである「Gosuslugi」によれば、新たなサービスでは、5営業日以内に証明書を無料サイト所有者である法人に提供するとしている。ただし、こうした新しい認証
米グーグルがHTTPS(TLS)に対応したWebサイトに使われるサーバー証明書の有効期間を現行の最長825日(2年3カ月)から397日(13カ月)に短縮するよう業界ルールの改定を提案し、議論を呼んでいる。早ければ2020年4月以降に更新する証明書から適用を求める内容だ。 HTTPSはユーザーがWebブラウザーでサーバーにアクセスする際に通信内容の改ざんを検知したり、データを暗号化して外部から盗み見られないよう安全性を高めたりできる。認証局(CA)が発行した証明書によって、Webサイトのドメインの所有者を確認できる。 CAが発行する証明書のうち、ドメイン所有者の実在確認などの審査をする「EV SSL」は金融取引や個人情報などセンシティブなデータをやりとりする企業のWebサイトにとって必須の証明書だ。 EV SSLを含めた全ての証明書は、運転免許証やパスポートと同様に有効期限がある。証明書の有
ウクライナ侵攻を続けるロシアに対して各国政府や民間企業が数多くの制裁措置を発表しており、ロシアでシェア1位と2位のインターネットプロバイダーが相次いでサービス停止を発表するなどインターネット環境にも影響が出始めています。制裁の影響でロシアではデジタル証明書が更新不能になる事態が発生しており、この問題を解決するべくロシア独自のTLS認証局が開設されました。既に独自認証局による認証済みのウェブサイトが複数登場しており、ロシアによる通信の傍受が懸念されています。 Russia creates its own TLS certificate authority to bypass sanctions https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-b
ロシア、証明書の更新停止を受け独自のTLS認証局立ち上げ
Bleeping Computerは3月10日(米国時間)、「Russia creates its own TLS certificate authority to bypass sanctions」において、ロシア当局が独自のTLS認証局を創設したと伝えた。同局は国外の証明書が期限切れまたは無効化された場合にその置き換えとなる証明書を無料で発行し、通常5営業日内で必要に応じて提供するとしている。 Russia creates its own TLS certificate authority to bypass sanctions これはロシアのサイトが既存のTLS証明書を更新することができず、Webブラウザによるアクセスがブロックされ始めている事態に対処するためとされている。欧米の企業や政府機関は制裁措置の一環として、ロシアサイトに対するTLS証明書更新の支払い処理を受け付けておらず、
MicrosoftとMozillaがアメリカ諜報機関との関係が報じられたルート認証局「TrustCor」の証明書を信頼しないことを決定
ブラウザは通信の安全性を確認ためにデジタル証明書を利用しており、その根幹をなすルート証明書を発行しているのが、上位の認証局による認証を受けず正当性を自ら証明できるルート認証局です。そんなルート認証局の1つである「TrustCor」が、アメリカの諜報機関や法執行機関とのつながりがあることが指摘され、Firefoxを開発するMozillaとEdgeを開発するMicrosoftが、TrustCorからの新たな証明書を信頼しないことに決定したと報じられました。 concerns about Trustcor https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/oxX69KFvsm4/m/WJXUELicBQAJ Mozilla, Microsoft yank TrustCor's root certificate auth
Chrome・Safari・Firefoxでルート認証局として使用されているTrustCorにアメリカの諜報機関とのつながりがあったことが発覚
デジタル証明書を発行する認証局のうち、厳しい審査の下で自らの正当性を証明できる認証局が「ルート認証局」です。このルート認証局の1つとして知られているTrustCorに、アメリカの諜報機関や法執行機関とのつながりがあることが指摘され、認証システムの乱用があった可能性が懸念されています。 TrustCor Systems verifies web addresses, but its address is a UPS Store - The Washington Post https://www.washingtonpost.com/technology/2022/11/08/trustcor-internet-addresses-government-connections/ This tiny company could help the government get around bro
はじめに このエントリはOpenSSLを利用したPKIを構築する手順について記載します。 PKIそのものや技術背景などの記載はありません。 概要 以下のようにルートCAと中間CAを作成します。 更新履歴 2020.1.28 図の追加と引数を一部変更(example.netにしたりとか) と、おまけの、一発構築コピペテキストも修正しました。 対象機器および環境 CentOS7(7.6.1810) このエントリを読むとできること LinuxのOpenSSLを利用して ルートCAと中間CAを作成して 証明書発行できる環境が準備できる はず。 事前準備 ディレクトリ配置 mkdir -p /opt/pki mkdir /opt/pki/configs mkdir /opt/pki/crl mkdir /opt/pki/RootCA mkdir /opt/pki/InterCA mkdir /opt
Googleが認証局サービスを一般提供としてリリース
Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...
世界中で利用されているリモートでサーバー操作を行うソフトウェア「OpenSSH」は、認証方式として公開鍵認証を用いるのが一般的ですが、認証局による認証を行うことも可能です。エンジニアのCarl Tashian氏が、認証局の秘密鍵に物理セキュリティキーを用いることで、高いセキュリティを維持して一時的な鍵の生成を行う方法を説明しています。 SSH Emergency Access https://smallstep.com/blog/ssh-emergency-access/ 今回説明されているSSHの認証方法は、通常の認証方式である「公開鍵をホストのauthorized_keysに登録し、クライアントから秘密鍵を用いて認証を行う」のではなく、「認証局を作成してサーバー側で信頼し、認証局による署名が行われた秘密鍵で認証を行う」というもの。認証局の署名時に有効期限などを設定することで、一時的な秘
opensslコマンドを使って、オレオレ認証局(CA)を作成し、そのオレオレCAが署名した証明書を作成する流れについて、たまにやるけどすぐに忘れるのでまとめ。 CA証明書の作成 CAの秘密鍵の作成 RSA秘密鍵を作成する。 -outでファイルを指定しても、標準出力をリダイレクトでファイルに書き込んでもどちらでもよい -----BEGIN RSA PRIVATE KEY-----で始まるファイルができる。-----BEGINで始まるファイルはPEM形式のファイルである。鍵や証明書のファイルによく使われる拡張子にはばらつきがあり、.pemとか.derというのはファイルのエンコーディングを表しているが、.crtや.cerや.keyや.csrというのはファイルの内容を表している。 秘密鍵の内容を確認する。
こんにちは!コンサル部のinomaso(@inomasosan)です。 先日、構築したばかりのRDSに対して証明書更新の通知を見つけました。 これまでRDS構築時に認証機関を意識していなかったのですが、デフォルトの証明書(rds-ca-2019)だと2024/8に期限切れとなるため、注意喚起のブログとなります。 ある朝「証明書の更新」の通知を見つけてしまった ある朝、RDSを確認しようとコンソールを開いたところ、サイドバーに証明書の更新が生えていることに気がつきました。 詳細を確認してみると、最近構築したはずのRDSの証明書が2024/8に有効期限が切れるため、更新が必要と表示されていました。 蘇る過去の証明書更新 2020年にRDSの証明書更新で苦労した方は多かったのではないでしょうか。 というのも証明書によるSSL/TLS通信を使用している・いないに関わらず更新が必須だったからです。
証明機関の構成をせずに証明機関を起動すると下図のエラーメッセージ(「Active Directory 証明書サービスを管理できません。指定されたファイルが見つかりません。0x80070002 (Win32:2)」)が表示されます。 サーバーマネージャーを開きます。[役割とサーバーグループ]欄の"AD CS"をクリックします。 AD CSの設定画面に切り替わります。上部に"Active Directory 証明書サービスの構成が必要です"のメッセージが表示されています。右側の[その他]をクリックします。 [すべてのサーバータスクの詳細と通知]ダイアログが表示されます。メッセージ欄の[操作]列の"対象サーバーにActive Directory 証明書サービスを構成する"をクリックします。 [AD CSの構成]ダイアログが表示されます。[資格情報]の欄は既に入力済みになっていますので[次へ]ボタ
2021 年 2 月 2 日 お客様各位 平素は格別のお引き立てを賜り、誠にありがとうございます。 DigiCert 社とサイバートラスト株式会社は、DigiCert ルート認証局に繋がる以下のサイバートラスト中間認証局につきまして、2021 年 5 月をもちまして運用を終了する合意に至りましたことをご案内申し上げます。 2019 年 9 月 29 日以前に当該中間認証局から発行された SureServer、SureServer EV、または SureMail を現在もご利用中のお客様におかれましては、当該証明書をサイバートラストが現在発行しておりますセコムルート下の証明書に差替えいただけますようお願い申し上げます。 失効となる中間認証局 Cybertrust Japan Public CA G3 シリアル番号:Serial Number: 054340d0a2c4cc8111faa837
はじめに 認証局(CA)は、インターネット上のIDをしデジタル証明書の発行をおこなう機関です。パブリックCAは、一般ユーザー向けのWebサイトやその他のサービスのIDを検証するのによく使われる一方、プライベートCAは通常、クローズドグループやプライベートサービスに使用されます。 プライベートCAを構築すると、クライアントとサーバー間の暗号化された接続を必要とするプログラムを設定、テスト、および実行できるようになります。プライベートCAを使用して、インフラストラクチャ内のユーザー、サーバー、または個々のプログラムとサービスの証明書を発行できます。 独自のプライベートCAを使用したLinux上のプログラムの例としては、OpenVPNとPuppetがあります。開発環境とステージング環境をTLSを使用して接続を暗号化する本番サーバーと一致させるために、プライベートCAによって発行された証明書を
GUIを使ってオレオレルート認証局を作り、楽に証明書を発行したい! オレオレ認証局を作ること自体は簡単だが、SANs証明書(マルチドメイン証明書)を発行するのは実はかなりめんどくさい!めったに作らないので手順も覚えられない! qiita.com 実は Mac には標準に組み込まれているキーチェーンでGUIベースでオレオレ認証局を開設し SANs証明書を払い出す仕組みがあるので、今回はそれを利用して開設する。 Windows を使っている人はわからないのでご自身で調べてください>< オレオレ認証局を開設するメリット キーチェーンを使うメリット ルート認証局を開設する手順 1) 認証局作成ウィザードを起動する 2) 認証局を作成 3) 証明書情報(1) 4) 証明書情報(2) 5) このCAの鍵ペア情報【スキップ可能】 6) このCAのユーザーが使う鍵ペア情報を指定【スキップ可能】 7) この
こんにちは、GMOインターネット ネットワークチームの梅崎です。 今回は弊社ネットワークチームの検証環境にあるWebサーバー群のために、プライベート認証局を立てた話です。 ※構築には easy-rsa を利用させていただきました。 作成されたファイルのパスなどはデフォルトのものを記載しております、適宜読み替えてください。 ※本文中の設定/コマンドはそのままコピペできなかったらごめんなさい。 (気をつけてはいますが、ワードプレスに慣れていないもので変な空白が……) 先に最終的になにをしたのかを 準備 easy-rsa をgit clone openssl-easyrsa.cnfを編集して [ easyrsa_ca ]セクションを変更 (中間認証局を作らない場合はpathlen は0でも大丈夫だと思います) - basicConstraints = CA:true + basicConstra
プライベート認証局とは?社内認証局の立ち上げ方法を解説! - ジンジャー(jinjer)| クラウド型人事労務システム
契約書への電子署名やビジネスメールの送信など、インターネットでの安全なやりとりに欠かせないのが、「認証局(CA:Certificate Authority)」と呼ばれる機関です。 認証局には、第三者機関が運営するパブリック認証局と、自社で独自に構築するプライベート認証局(社内認証局)の2種類があります。お金をかけず、社内に安全なインターネット環境を構築したり、社内アプリケーションを利用したりする場合は、費用のかからないプライベート認証局を立ち上げる方法もあります。 この記事では、プライベート認証局の仕組みや立ち上げ方法について解説します。 関連記事:電子署名の認証局の役割とは?|仕組みと種類をご紹介します! 1.プライベート認証局とは プライベート認証局とは、個人や法人が開設する認証局のことです。第三者機関が審査を受けて開設するパブリック認証局と違い、利用する際に費用がかかりません。また、
能書き 自宅サーバー構築譚:基本構想に基づく自宅サーバー構築の続き。 ものすご~く端的に言うと。 周知の通り、証明書はそれだけでは用を為しません。証明書が正しい事を証明する為に電子署名する機関が認証局であり、取り敢えず無条件で信用するのがルート認証局です。全ての署名はこのルート認証局の信用に依って成り立っています。 ルート認証局は、通常は社会的合意に基づいて信用されます。しかしコストなどの問題から私的用途の為にはルート認証局を自分で用意する事があります。これがプライベート認証局、通称オレオレ認証局です。 このような認証基盤の全貌を PKI と呼びます。 これについては下記文献に丁寧な説明があります。 参考文献:認証局(CA)の役割 ~PKI基礎②~ - マイクロソフ党ブログ 参考文献:電子メールのセキュリティ(5) ~ 認証局(CA)とPKI ~ - 基礎からわかる!パソコン入門・再入門
自己認証局(CA)と自己証明書(SSL)を Windows 版の XCA で管理してみる | MiYABiS note.
お疲れ様です!Redmine、Trac、Jenkins、Mattermost、GitBucket などなど色々サーバーを運用してますが、イントラネットだからといって SSL 接続にしてなかったんですよね。でも平文で内容が飛び交うのはどうかと思いSSL接続にすることにしました。イントラネットなのでオレオレな感じで証明書を発行管理したいと思います。 準備XCA のダウンロードOpenSSLを使ってコマンドで管理する方が多いようですがGUIで管理できるXCAを使います。XCAは内部ではOpenSSLライブラリを使っています。 下記サイトからWindows版をダウンロードします。 X – Certificate and Key management 投稿時:2.1.1 インストールインストールはダウンロードしたファイルをダブルクリックしてウィザードはデフォルトのまま実行するだけです。 証明書管理デ
Ubuntu 18.04 LTS で OpenSSL を使ったプライベート認証局&証明書を作る - 未完放流
触れることは無いだろうと思っていた SSL ですが、 LAN 内であっても Web Application が https 化しないと動いてくれない時代になったので仕方なく調べました。 メジャーな技術なので資料は豊富ですが、 玉石混交というか数を読み込まないと分からないことが多かったです。 コマンドをコピペしてOKと言う具合にはいきませんでした。 調べていて気になったところ CA スクリプト: プライベート(オレオレ)認証局のためのヘルパースクリプト 試したが完全には動かなかった。 現在は動かないかもしれない。 メンテの状態が怪しい。 sh 版と perl 版が存在するが、現在は廃止されているオプションを使用している可能性。 シンプルな自己署名証明書は使えない: 警告が返ってきたり、Chrome では事実上 SAN (subjectAltName) が必須。 近年では地味に一番痛い変更だっ
本記事の目的 SSL/TSL通信や、アプリ開発を行う過程で証明書まわりの知識や実装スキルが必要となります。 現在私は仕事でスマホ決済アプリのAPI開発を行っているが、Appleとのプロビジョニング機能実装において、証明書チェーンの検証実装と、ローカル環境での動作確認やテストを行うにあたり、証明書を作成する必要があったのでそれをまとめました。 ※Windows環境 これを機に証明書についての理解を深めましょう! 公開鍵証明書の概要 公開鍵証明書とは 簡単に言えば、Aさんの公開鍵Aがあったとし、「その公開鍵が確かにAさんのものであると証明する」ものになります。 公開鍵証明書にはAさんの名前や所属、メールアドレスなどの個人情報、Aさんの公開鍵が記載されており、認証局(certificate authority : CA)によるデジタル署名が行われています。 X.509証明書 X.509証明書(X
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Let's Encryptのルート認証局移行についてちょっと調べてみた - Qiita
ルート認証局がスパイウェアの開発元? 「Google Chrome」が「TrustCor」を削除へ/「Microsoft Edge」「Firefox」からも削除済み
グーグル、認証局サービス「Google Cloud CAS」を一般提供
米グーグルがHTTPS証明書の有効期間1年短縮を提案、認証局は反論
ロシアが自国のウェブサイトの信頼を独自に担保するTLS認証局を設置
解凍・圧縮ソフト「WinRAR」の証明書が認証局により突如失効、一時インストール不能に/別の認証局から証明書を取得して解決するも、依然一部環境ではブロック
OpenSSLでプライベート認証局の構築(ルートCA、中間CA) - Qiita
JPRSが「WebTrust」を取得、サーバー証明書の認証局の信頼性を保証
SSHの認証に物理セキュリティキー&認証局を用いて一時的な鍵を生成する方法とは?
OpenSSLによるオレオレ認証局が署名した証明書の作成 - Qiita
RDSの新規構築時に認証局(CA)の設定を必ず確認しましょう | DevelopersIO
Windows Server にルートCAの認証局の証明機関を構成する (Windows Server Tips)
DigiCert ルート認証局下のサイバートラスト中間認証局の終了に関するご案内
Ubuntu 20.04で認証局(CA)をセットアップおよび設定する方法 | DigitalOcean
MacでGUIを使ってオレオレルート認証局を作る - ましめも
社内検証環境用にプライベート認証局立ててみた / 開発者向けブログ・イベント | GMO Developers
凸版印刷とNICT、保健・医療領域で耐量子計算機暗号に対応したプライベート認証局構築 2025年からの実用化を目指す
自宅サーバー構築譚:オレオレ認証局 - Qiita
公開鍵証明書-プライベート認証局(オレオレ認証局)を作り、証明書チェーンを作成するまでの流れ
www.sponichi.co.jp
techblog.insightedge.jp
express-kusuri.hatenablog.com
koubodatabase.com
maronmame.hatenablog.com
www.google.co.jp