古いサーバにrvmをgithub から取ってこようとしたらエラーになったよ。 新しいサーバ https://raw.github.com へのRedirectも問題なくアクセスできてる。 $ curl -L -I get.rvm.io HTTP/1.1 301 Moved Permanently Server: nginx/1.0.14 Date: Thu, 21 Jun 2012 01:22:39 GMT Content-Type: text/html Content-Length: 185 Connection: keep-alive Location: https://raw.github.com/wayneeseguin/rvm/master/binscripts/rvm-installer HTTP/1.1 200 OK Server: nginx/1.0.13 Date: Th
中国の認証局WoSignとStartComの証明書については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザで両社の証明書が通用しなくなる。 米Microsoftは8月8日、中国の認証局(CA)、WoSignとStartComが発行した証明書を段階的に無効化すると発表した。両社については米Mozilla、Google、Appleも無効化を通告しており、これで全主要ブラウザにおいてWoSignとStartComの証明書が通用しなくなる。 Microsoftによると、WoSignとStartComについてはSHA-1証明書の日付のごまかし、証明書の不正な発行、不手際による証明書の失効、証明証通し番号の重複、CAB Forumの規定違反など、「容認できないセキュリティ慣行」が相次いで発覚。このため、Microsoftのルート証明書プログラム参加に求められる基
不正侵入を受けて不正なSSL証明書を発行していた認証局のDigiNotarのサイトから、何年も前に改ざんされていたとみられるWebページが見つかったという。 オランダのSSL認証局DigiNotarから不正なSSL証明書が発行されていた問題に関連して、セキュリティ企業のF-Secureは、DiginotarのWebサイトが何年も前からハッキングされ、Webページが改ざんされていたのを見つけたと伝えた。 F-Secureによると、改ざんされていたのは「diginotar.nl」のドメインを使ったDigiNotarのページで、「Hacked by KiAnPhP」「Iranian Hackers」などの文字が残されていた。DigiNotarが不正証明書発行の事実を公表した8月30日の時点でまだ閲覧できる状態だったという(日本時間の9月2日現在はつながらなくなっている)。 さらに調べたところ、同
sed -i "s/365/3650/g" /etc/pki/tls/openssl.cnf sed -i "s/365/3650/g" /etc/pki/tls/misc/CA sed -i "s/1095/3650/g" /etc/pki/tls/misc/CA CA certificate filename (or enter to create) Making CA certificate ... Generating a 2048 bit RSA private key .............................................................................................................................................................
ローカル環境で使うオレオレ認証局とオレオレ証明書を簡単に作れる mkcert を試した - kakakakakku blog
ローカル環境で使うオレオレ証明書を簡単に「保護された通信」に切り替えることができるコマンドラインツール「mkcert」を試した.先月に GitHub Trending に入っていて知ったのと,自分のローカル環境でオレオレ証明書を使っているときに,Chrome で警告が出ていたので(この接続ではプライバシーが保護されません),そのあたりを全て解決することができた.とにかく便利! github.com インストール 今回は brew で Mac にインストールした.既に brew に対応している. $ brew install mkcert 最近,リリースタグにバイナリが含まれているので,もし Linux 環境で使う場合は,以下のように取得する. $ wget -O /usr/local/bin/mkcert https://github.com/FiloSottile/mkcert/rele
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人が日常で利用するネットショッピングやクラウドサービス。ウェブサイトで入力する際のIDやパスワード、個人情報やクレジットカード番号といった重要な情報をやりとりする際に使用されているのが「SSL(Secure Socket Layer)」だ。 SSLは、これらの重要な情報を暗号化して安全に送受信するための技術だ。情報を暗号化するSSLの機能と、ウェブサイトを運営する会社の身元を確認できる機能を備えるのが「SSLサーバ証明書」となる。 当然ながら、そのSSLサーバ証明書を発行する提供会社は、数多くある。今回訪ねたベリサインブランドを有するシマンテックもそのひとつだ。米シマンテックは2012年11月、日本ベリサインを完全子会社にしている
OpenSSLを利用した、自己認証局(CA)の構築と、サーバ証明書の作成手順とApache+mod_SSLでの設定方法についてもご紹介します。 Section.1では、通常のhttps通信を可能とするため、以下の手順を行います。 1.自己認証局(CA)の構築 2.サーバの証明書の作成 3.自己認証局によるサーバ証明書への署名 4.Apache+mod_sslの設定例 Section.2では、Section.1に加えてクライアント認証に利用する証明書の発行方法とApacheの設定例を示します。 1.クライアント認証用証明書の作成 2.Apache+mod_sslでの設定例 最初に、自己認証局(以下CA)の構築を行います。なお、CAの構築は/usr/local/CAに行います。 CAを作成するには、OpenSSL付属のCA.shを利用します。 (CA.shは、OpenSS
オレオレ認証局でクライアント認証 ~ ウェブの Basic 認証をリプレース - OPTPiX Labs Blog
JINS PC を使い始めました。普段はメガネをかけていないため、レンズに照明がうつり込むのが気になる、耳が痛い、と気になって気になってしかたがない yone です。効果があればよいのですが。 1. オレオレ認証局の活用 前回の記事で、オレオレ認証局 (プライベート認証局) の構築と、それを使ったウェブサーバ証明書の発行を紹介しました。記事の最後に、その他の証明書活用を紹介しましたが、今回はそのなかから「クライアント証明書」の事例を解説します。 2. クライアント証明書 一般公開しているウェブページではなく、特定の人だけに見せたいページを作る場合、Basic 認証を使うことが多いでしょう。ほぼ全てのブラウザが対応しており、広く使われています。 お手軽でよいのですが、盗聴・改竄に弱いという弱点があります。弱点を改善した Digest 認証というものがありますが、Basic 認証ほど普及してい
米Googleは現地時間2015年4月1日、中国インターネット情報センター(CNNIC:中国互聯網絡信息中心)の証明書を今後信用しないと発表した。複数の海外メディアの報道によると、CNNICは同社の決定を非難している。 同社は3月20日、複数のGoogleドメインに対して不正なデジタル証明書が発行されていることを確認。証明書は「MCS Holdings」というエジプト企業の中間認証局(CA)から発行された。中間CA証明書はCNNICが発行したもので、CNNICはすべての主要ルートストアに含まれているため、ほとんどのブラウザーとOSがその不正デジタル証明書を信用してしまう危険性がある。GoogleはただちにCNNICと他の主要ブラウザーに連絡し、MCS Holdingsのデジタル証明書を遮断する措置をとった。 GoogleはCNNICと共同で調査を行った結果、今後CNNICが新たに発行するル
ロシア、証明書の更新停止を受け独自のTLS認証局立ち上げ
Bleeping Computerは3月10日(米国時間)、「Russia creates its own TLS certificate authority to bypass sanctions」において、ロシア当局が独自のTLS認証局を創設したと伝えた。同局は国外の証明書が期限切れまたは無効化された場合にその置き換えとなる証明書を無料で発行し、通常5営業日内で必要に応じて提供するとしている。 Russia creates its own TLS certificate authority to bypass sanctions これはロシアのサイトが既存のTLS証明書を更新することができず、Webブラウザによるアクセスがブロックされ始めている事態に対処するためとされている。欧米の企業や政府機関は制裁措置の一環として、ロシアサイトに対するTLS証明書更新の支払い処理を受け付けておらず、
MicrosoftとMozillaがアメリカ諜報機関との関係が報じられたルート認証局「TrustCor」の証明書を信頼しないことを決定
ブラウザは通信の安全性を確認ためにデジタル証明書を利用しており、その根幹をなすルート証明書を発行しているのが、上位の認証局による認証を受けず正当性を自ら証明できるルート認証局です。そんなルート認証局の1つである「TrustCor」が、アメリカの諜報機関や法執行機関とのつながりがあることが指摘され、Firefoxを開発するMozillaとEdgeを開発するMicrosoftが、TrustCorからの新たな証明書を信頼しないことに決定したと報じられました。 concerns about Trustcor https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/oxX69KFvsm4/m/WJXUELicBQAJ Mozilla, Microsoft yank TrustCor's root certificate auth
Python でHTTP(S)通信をするようなプログラムを書く場合、requests ライブラリを直接・間接的に使っていることが非常に多いかと思います。 HTTPS通信の際には、サーバーの証明書が信頼できる認証局によって発行されたものかクライアントはチェックします。 このチェックのために、クライアントは信頼できる認証局の一覧(認証局の証明書リスト)を保持しています。 requests ライブラリが信頼できる証明書リストをどこから持ってきているのか調べる機会が有りましたので、ご紹介します。 前提 現時点の最新版は 2017/08/15 にリリースされた 2.18.4 です。 あまりに古すぎるバージョンから歴史を追うと大変なため、2013/09/24 にリリースされた 2.0.0 以降を対象とします。 証明書リスト取得の変遷 ライブラリが利用する証明書リストは OS 標準 ライブラリにバンドル
GoogleやFirefoxによると、WoSignは不正な証明書を発行していたことが判明。別の認証局のStartComを買収していたことも隠して「ブラウザコミュニティをあざむこうと画策した」とされる。 中国の認証局WoSignと傘下のStartComが不正な証明書を発行していたことが分かったとして、米MozillaやGoogle、AppleがそれぞれのWebブラウザで両社の証明書を信頼できない証明書として扱うと表明した。 Googleは10月31日のブログで、Chrome 56(2017年1月にリリース予定)以降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を信頼できる証明書として扱わないと表明した。 それより前に発効された証明書については当面の間、条件付きで信頼するが、そうした例外は両社の証明書を使っているWebサイトに対して信頼できる別の認証局への移行
前回は、公開鍵暗号の原理から始まり、電子証明書の基礎知識の説明を行なった。続いては、いよいよWindows Serverで電子証明書を利用するための方法を解説しよう。 証明機関のインストール Windows Serverの「Active Directory証明書サービス(AD CS)」は、2種類の選択項目の組み合わせにより、合計4つのパターンを選択できる。 (1)エンタープライズCAかスタンドアロンCAか エンタープライズCAはActive Directoryと連動しており、Active Directoryアカウントからの要求であれば、証明書の発行を自動的に行なう。そのため、発行された証明書はActive Directoryの登録情報と同程度に信頼できる。一方、スタンドアロンCAは管理者が独自の判断で発行する。スタンドアロンCAでも証明書の自動発行は可能だが、身元保証が行なわれないため信頼
2011/03/24 SSL電子証明書を発行するコモドは3月23日、侵入を受け、その結果不正に電子証明書を発行したことをブログで明らかにした。同社はその後、これらの証明書を失効させたが、MicrosoftやGoogle、Yahoo!といった9つのサイトが影響を受ける恐れがある。 電子証明書は、Webブラウザでアクセスしたときに「そのWebサイトが本物である」ことの確認に利用できる。だが、こうした不正な証明書が利用されると、フィッシング詐欺やDNSポイズニングなどで偽のサイトに誘導されても、その真偽を確かめることが困難になる。 例えば、ユーザー当人はSkypeのサイトにアクセスしているつもりでも、実際には偽のサイトに誘導されており、証明書を使ってもそれを確認できない事態が考えられる。この結果、ユーザーIDやパスワード情報を盗み取られたり、それを使ってWebメールを盗み見られる可能性がある。ま
SSL認証局のStartSSが何者かに攻撃され、証明書の発行を中止したと、米セキュリティ機関のSANS Internet Storm Centerが6月21日のブログで伝えた。 StartSSはイスラエルのStartComが運営するSSL認証局。「6月15日に発生したセキュリティ侵害事件により、デジタル証明書の発行と関連サービスを中止しています」とする告知をWebサイトに掲載した。 報道によると、StartSSの証明書はInternet Explorer(IE)、Google Chrome、Mozilla Firefoxなどの主要なWebブラウザがサポートしている。しかしStartSSの告知によれば、今回の問題によって有効な証明書の利用者や保持者、および有効な証明書を使ったWebサイトのユーザーなどが影響を受けることはないといい、不正な証明書が発行される事態にはなっていないとみられる。 S
事前準備 OpenSSL インストール Apache+mod_ssl or Apache-SSL インストール 作業手順(CA構築編) 事前設定(openssl.conf修正等)
Chrome・Safari・Firefoxでルート認証局として使用されているTrustCorにアメリカの諜報機関とのつながりがあったことが発覚
デジタル証明書を発行する認証局のうち、厳しい審査の下で自らの正当性を証明できる認証局が「ルート認証局」です。このルート認証局の1つとして知られているTrustCorに、アメリカの諜報機関や法執行機関とのつながりがあることが指摘され、認証システムの乱用があった可能性が懸念されています。 TrustCor Systems verifies web addresses, but its address is a UPS Store - The Washington Post https://www.washingtonpost.com/technology/2022/11/08/trustcor-internet-addresses-government-connections/ This tiny company could help the government get around bro
OpenSSLで自己認証局と証明書の作成 - bnote
まず、OpenSSLがインストールされているとして進めます。 本来、信頼のある認証局に認証してもらいますが 今回は、自分で認証するための自己認証局を作成します。 CAの作成は、/usr/local/ssl/CAに行います。 あらかじめディレクトリを作成しておきます。 OpenSSLがインストールされているディレクトリにある miscディレクトリにCA.shというスクリプトがあります。 このスクリプトで認証局を構築することができます。 CA.shをCAの作成場所にコピーします。 cp CA.sh /usr/local/ssl/CA 構築する場所等を変更するためスクリプトを少し修正します。 openssl.cnfの[CA_default]-dirも同様に修正します。 DAYS="-day 3650" CATOP=/usr/local/ssl/CA CAKEY=./cakey.pem CACER
現在ダウンロードできるOpenVPNでは、今まで認証局の構築で使用していたeasy-rsaが含まれなくなっています。OpenVPN.netのダウンロードページにも Note that easy-rsa is no longer bundled with OpenVPN source code archives. To get it, visit the easy-rsa page on GitHub, or download it from our Linux software repositories. と記載されており、別途入手する必要があります。今回はインストール手順と使用法についてご説明します。 以前のバージョンとの違い 以前のeasy-rsa(バージョン2)と大きく異なるのは以下の点です。 実行コマンドは easyrsa のみとなり、続く引数で実行する処理を切り替えるようになりま
IT Mediaの記事によると、オランダのSSL認証局であるDigiNotarの認証局インフラに対する不正侵入が発覚し、これによりGoogle.comを含む多数のSSL証明書を不正に発行してしまったそうだ。/.でも取り上げられている。 同様の事件は、今年の3月にComodo Groupでも発生している。
メールマガジン(JPNIC News & Views)登録 パスワードが記載された確認メールが発送されます。 確認メールが届かない場合は、 ご入力いただいたメールアドレスが 誤っていた可能性がありますので、 再度ご登録手続きを行ってください。
SSL認証局のComodo Groupがアカウント情報を入手した何者かの仕業により、偽のSSL証明書9件を発行してしまったそうだ(ITmedia記事)。Comodoで証明書発行の申請を審査しているアカウント情報が盗まれ、それによって偽証明書が発行された模様。 影響を受けるのは、Hotmailのログインに使われている「login.live.com」のほか、Googleの「mail.google.com」「www.google.com」、Yahoo!の「login.yahoo.com」(3件の証明書が関連)、Skypeの「login.skype.com」、Firefoxアドオン用の「addons.mozilla.org」、および「Global Trustee」の各ドメイン。 FirefoxとWindowsには問題の証明書をブロックできるアップデートが既にリリースされているので、可及的速やかに適
オランダの認証局GemnetのWebサイトが第3者による不正侵入を受け、非公開だったドキュメンなどにアクセスされた恐れがあることがWebwereldにおいて「Weer certificatenleverancier overheid gehackt」として掲載されている。パスワードなしの状態のphpMyAdminを使ってデータベースを管理していたとのことで、ここを経由してのデータアクセス、または不正に操作が行われた可能性があるという。 2011年に入ってからオランダは認証局関連の問題が起こってセキュリティ関係者の注目を集めている。事の発端はオランダの認証局「DigiNotar」が偽の証明証を発行してしまったことが発覚したことにある。同システムが第3者による不正アクセスを受け、不正利用の結果、偽の証明書が発行されてしまったとされている。同様の事例は他にもあるが、DigiNotarのケースは関
前に書いた続き。実際に認証局を構築してApacheサーバから発行した証明書に署名してインストールをやってみた。環境はCentOS5.3 流れは 自前の認証局(CA)で証明書(CACERT)を作成(3のときに実行しても良いけど、認証局がサーバより先にあるというのが一般的なので) Apacheサーバで秘密鍵(Key)と証明書署名要求(CSR)を作成 自前の認証局で証明書署名要求(CSR)に署名し証明書(CERT, certificate)を作成 証明書(CERT)と秘密鍵(Key)をApacheサーバにインストール クライアントのブラウザに自前の認証局の証明書(CACERT)をインストールして信頼させる という感じ。ここのサイトなどを参考に。 ベリサインなどのWebTrust認証局にサーバ証明書を発行してもらったときは2と4の作業だけで済む(1と5は既に終わっていて、3は申請するだけ)。 1.
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
モジラ、認証局にセキュリティ対策を要求
Mozillaは米国時間9月8日、公開書簡のなかで、認証局(CA)に対して1週間の間にセキュリティを改善する措置をとるよう求めた。 MozillaのCA認証モジュール責任者であるKathleen Wilson氏はこの書簡で「Mozillaのルートプログラムへの参加はわれわれが単独で裁量でき、われわれはユーザーの安全を保護するために必要なあらゆる手段をとるつもりだ」と述べている。 この書簡は、オランダの認証局であるDigiNotarが先週、7月19日の時点でシステムに侵入されて500以上の不正な証明書の発行を許したと認めたことを受けたものだ。Wilson氏は、Mozillaは最近DigiNotarのルート証明書を削除したと述べている。 Wilson氏は、Mozillaは認証局に対し、公開鍵基盤(PKI)の監査と侵入や侵害のチェック、複数のCAによって署名された証明書の一覧表の提供、証明書を発
Mozillaは、WoSignが新たに発行するデジタル証明書をブロックする意向だ。WoSignは、GitHubの偽のHTTPS証明書を発行した中国の認証局(CA)である。 Mozillaはイスラエルに拠点を置く認証局StartComをブロックすることも提案している。WoSignは2015年11月にStartComを買収したが、何らかの理由で、同CAの所有権を取得したことを否定した。 Mozillaは、両認証局が新たに発行する証明書を1年間ブロックすることを提案している。その後、WoSignとStartComはMozillaの信頼プログラムへの参加を再申請しなければならない。WoSignは中国で新たに発行する証明書に関して、今後も信頼性を保証してほしいとMozillaに要請したが、Mozillaはこれを却下した。 ウェブユーザーへの影響を最小限に抑えるため、Mozillaは既存の証明書につい
0. 想定環境 サーバ - Ubuntu 14.04 - Apache 2.4.* クライアント - Windows 7 - Chrome - Firefox ※ 想定環境外でも大枠ではほぼ同じと思われるので、それぞれの環境に読み替えて読んでいただければ。 1. 環境設定 1-1. オレオレ認証局用ディレクトリ生成 /etc/ssl(または環境にあわせた対象ディレクトリ)で作業 cd /etc/ssl mkdir myCA cd myCA mkdir newcerts mkdir certs mkdir crl mkdir private chmod 700 private myCA はお好みのディレクトリ名で大丈夫です。 変更した場合、以降の myCA はすべてそのディレクトリ名で読み替えてください。 1-2. オレオレ証明局の運用に必要なファイルの生成 /etc/ssl/myCA(前項
社内や家庭内でSSLを利用する際、オレオレ証明書で信頼されてない状態で利用するとどうしても支障が出る場合がある。 (RestAPIを使っての通信だったりとか) そんなときは、LAN内にプライベート認証局を構築して、そこから証明書を発行させることで、(クライアント側にCA証明書をインストールする必要はあるが)信頼された証明書として利用することが可能にだ。今回は、CentOS 7上でプライベート認証局の構築と証明書の発行を行う。 1.OpenSSLの準備をする まず、以下のコマンドでOpenSSLをインストールする。 yum install -y openssl プライベートCA認証局を作成するにあたり、CentOS 7では「/etc/pki/tls/」ディレクトリで作業を行う。 [root@BS-PUB-CENT7-01 ~]# ls -la /etc/pki/tls/ 合計 12 drwx
Webブラウザと閲覧サイトの間の通信を暗号化し、やり取りする情報の漏洩や改ざんを防ぐSSL(Secure Sockets Layer)。オンラインでの買い物やネットバンキングにおいて、Webブラウザ上でSSL通信を示す鍵マークを確認して安心するインターネットユーザーは多い。だが米Electronic Frotier Foundation (EFF)の技術アナリストPeter Eckersley氏は、デジタル署名付き証明書を用意する認証局の乱立がSSLの信用を危うくしていると指摘する。EFFは信頼性に欠ける認証局を認めた米Verizonに公開質問状を送付すると共に、SSLの信用・安全性を調査するSSL Observatoryプロジェクトを発足させた。 SSL証明書の重要な役割の1つとして、通信しているWebサイトの実在の証明が挙げられる。認証局と呼ばれる第三者機関が、サイトの運営者を確認して
OpenSSH 情報 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局」の問題点
2008/01/02 - [misc][暗号]「原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局」の問題点 原理から学ぶネットワーク・セキュリティ 第5回 電子証明書と認証局:ITproの問題点を挙げていきます. 一通り作成しました. 導入部 公開鍵暗号では,「秘密鍵」と「公開鍵」の2つの鍵をペアにして使います。この2つの鍵は,次の2つの性質を持っています。 性質1)秘密鍵から公開鍵は容易に生成できるが,その逆は非常に困難(図1)。 性質1は間違いです. 秘密鍵から公開鍵は容易に生成できることは公開鍵暗号の必要条件ではありません. 公開鍵から容易に秘密鍵が生成できては公開鍵暗号として成り立たないので, この点は問題ありません. 性質2)秘密鍵で暗号化した情報は,そのペアである公開鍵でなければ復号化できない。また公開鍵で暗号化された情報は,そのペアである秘密鍵でなければ復号
CentOS 5.4でSSL/TLSのプライベート認証局(Private CA)を構築する - パンダのメモ帳
CentOS 5.4でプライベートCAを構築し、自前のSSL/TLS証明書を作成できるようにする。 1. 要件と仮定 今回の要件は以下の通り。 OpenSSLは導入されていることとする。今回検証に使用したバージョンは 0.9.8e-12。 /etc/pki/myCA というディレクトリを作成し、そこに必要なファイルが格納されるようにする。 1. 準備 まず、CA用の設定ファイルを作成する。OpenSSLの標準設定ファイルをコピーしてきて編集してもいいし、一から書いてもいい。今回は以下の様に作成した。 [root@localhost ~]# mkdir /etc/pki/myCA [root@localhost ~]# vi /etc/pki/myCA/ca.conf [ ca ] default_ca = CA_default # The default ca section ######
第5回 電子証明書と認証局
情報の秘匿だけではなく,認証にも使える公開鍵――。誰にでも配布できることが特徴ですが,間違いなく本人が配布したかどうかが,なぜ分かるのか。そこで,認証局と電子証明書が登場します。 前回,電子署名の仕組みについて説明しました。そこで使われていたのが公開鍵(かぎ)暗号でした。公開鍵暗号は,暗号化による情報の秘匿のみならず,本人認証と改ざん検知をも実現する画期的な技術でした。 最初に公開鍵暗号の原理をもう一度,整理しておきましょう。 公開鍵暗号では,「秘密鍵」と「公開鍵」の2つの鍵をペアにして使います。この2つの鍵は,次の2つの性質を持っています。 性質1)秘密鍵から公開鍵は容易に生成できるが,その逆は非常に困難(図1)。
オレオレ認証局でSSLクライアント認証しようとしたら、色々ハマったから手順をまとめた - 死ぬまでの暇潰し
表題の通りです。 以前、自前で認証局たててSSL環境作ってクライアント認証しようとしました。 情報はググれば結構見つかって、それらを参照しながら 特に詰まる事無く各証明書作成を完了したんですが、 いざ導入しようとしたら、いろんなエラーに遭遇して上手くいかず、 試行錯誤の末、環境構築に成功し、現在は上手く動作しています。 その頃はブログも書いていなくて、情報もまとめてなかったんですが、 定期的に作業が必要になる度に思い出すのに手間取ったり、 新しく環境構築することになったりし始めたので、 自分なりに以前色々調べて把握したことを元に、手順をまとめてみました。 構築した環境 CentOS5または6でopensslを使って、/etc/pki配下に自前のSSL環境を作り、 サーバのSSL通信およびクライアント認証を導入しました。 CAは10年、サーバ/クライアントは1年毎に証明書更新することにしまし
電子署名の基礎知識|電子認証局会議
電子署名の基礎知識 現代の日常生活やビジネスで欠かせない存在となったインターネットですが、やりとりをする相手が誰なのか、別人がなりすましてはいないか、交わした情報は信用できるのかといった心配があります。 電子認証とは、電子認証局から発行される「電子証明書」を用いて、なりすましの防止や情報の改ざんを防止する技術です。 この技術により、現実世界で行っている署名、捺印などを、電子化することもできます(契約書、請求書、議事録、申込書、稟議書、保存文書、など)。 このページでは、電子署名・電子認証についての必要性や基礎知識をご紹介します。 電子署名・認証の必要性 ある文書についてその作成者として文書に記載されている者(作成名義人)がある場合、その文書が本当にその作成名義人によって作成されたものであることは、通常はその文書に付されたその作成者の署名や印によって証明されます。 しかし、電子文書にはもちろ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL認証局がGoogleなどの偽証明書を発行、ブラウザーベンダーが対策を公開
サーバのSSL CA(認証局)証明書が古くてcurl がエラーになる件 - うまいぼうぶろぐ
不正が発覚した中国の認証局、Microsoftも無効化を通告
不正SSL証明書発行の認証局、Webサイトも改ざんされていた
CentOS 6.5 OpenSSLでオレオレ認証局 - Qiita
SSLのルートキーはどのような場所で生成・管理されているか--ベリサイン認証局を訪問
OpenSSLでの自己認証局(CA)と自己証明書の作成
中国認証局がGoogleの決定を非難、証明書の失効を巡り
Python requestsライブラリは認証局の証明書をどう管理する? | DevelopersIO
解凍・圧縮ソフト「WinRAR」の証明書が認証局により突如失効、一時インストール不能に/別の認証局から証明書を取得して解決するも、依然一部環境ではブロック
中国の認証局が不正な証明書、主要ブラウザが無効化を通告
Windows Serverを認証局にしよう (1/4)
なりすましで認証局にログイン、電子証明書を不正発行 - @IT
SSL認証局を狙った攻撃がまた発生、証明書の発行を中止
トルコの認証局が中間CA証明書を誤発行、ブラウザーベンダー各社が対応
独自SSLサーバ認証局(CA)作成とサーバ証明書発行 - Qiita
easy-rsa 3 で認証局を構築する
オランダの認証局で不正侵入が発覚、不正なSSL証明書が発行される | スラド セキュリティ
Internet Week 2017 S11 知らないと困る?! 認証局とHTTPSの最新技術動向 - JPNIC
クラックされた認証局から偽のSSL証明書が発行される | スラド セキュリティ
オランダの認証局、第3者の不正侵入受けた可能性 - DigiNotarに続き
OpenSSLで認証局(CA)構築とApache+mod_sslでサーバ認証
Android Nougat における認証局の変更
モジラ、中国の認証局WoSignが新たに発行するデジタル証明書のブロックを提案
Chrome58以降でハネられないSHA-2でオレオレ認証局署名のあるオレオレ証明書 - Qiita
Google、自社向けのルート認証局「Google Trust Services」を開設 -INTERNET Watch
プライベート認証局を構築してLAN内で利用する証明書を発行する | 俺的備忘録 〜なんかいろいろ〜
不審な認証局が増加、SSL通信が監視される可能性 - 米EFFが指摘 | ネット | マイコミジャーナル