オレオレ認証局でSSLクライアント認証しようとしたら、色々ハマったから手順をまとめた - 死ぬまでの暇潰し
表題の通りです。 以前、自前で認証局たててSSL環境作ってクライアント認証しようとしました。 情報はググれば結構見つかって、それらを参照しながら 特に詰まる事無く各証明書作成を完了したんですが、 いざ導入しようとしたら、いろんなエラーに遭遇して上手くいかず、 試行錯誤の末、環境構築に成功し、現在は上手く動作しています。 その頃はブログも書いていなくて、情報もまとめてなかったんですが、 定期的に作業が必要になる度に思い出すのに手間取ったり、 新しく環境構築することになったりし始めたので、 自分なりに以前色々調べて把握したことを元に、手順をまとめてみました。 構築した環境 CentOS5または6でopensslを使って、/etc/pki配下に自前のSSL環境を作り、 サーバのSSL通信およびクライアント認証を導入しました。 CAは10年、サーバ/クライアントは1年毎に証明書更新することにしまし
監査の結果、DigiNotarが運営している複数の認証局のサーバが全てハッキングされていたことが判明した。「google.com」用の不正証明書は30万のIPアドレスで利用されていたという。 (不正証明書発行事件の記事一覧はこちら) サイバー攻撃を受けて不正なSSL証明書を発行していた認証局のDigiNotarに対し、オランダ政府が実施した監査の中間報告書がまとまった。 報告書は監査責任者を務めるセキュリティ企業のFox-ITの最高経営責任者(CEO)がまとめたもので、オランダ政府が公表した。米セキュリティ機関のSANS Internet Storm Centeが9月6日にWebサイトで概略を紹介した。 それによると、監査の結果、DigiNotarが運営している複数の認証局のサーバが全てハッキングされ、管理者権限でアクセスされていたことが判明。中にはログ記録が一部抹消されていた認証局もあり
【RDS】2015年3月のSSL証明書バンドル・認証局(CA)の更新作業をやってみた | DevelopersIO
こんにちは、ブログにはご無沙汰の三井田です。 今回の記事は、Amazon RDSでSSL通信を利用しているユーザ向けです。 SSL通信を使用していない場合は、特に更新作業は必要ありません。 はじめに 先日、AWSよりAmazon RDSでSSL通信を利用しているユーザ向けに脚注に引用したアナウンス *1がありました。RDSのマネジメントコンソールにも以下のようなバナーが表示されています。 要点をかいつまむと、次のような内容です。 対応が必要なのは、RDS(MySQL、SQL Server、またはPostgreSQL)とクライアント間でSSL通信を利用している方 対応期限は、日本時間で、2015年3月24日 午前5時 SSL証明書が有効期限を迎えるので、引続きRDS〜クライアント間のSSL通信を行うには対応が必要 クライアントプログラムは、AWSが提供する新しい証明書バンドルを利用するように
DNS CAA(Certification Authority Authorization)は、自分が所有しているドメインに対して、SSL/TLSサーバー証明書を発行できる認証局(CA)を指定できる仕組みです。ドメイン所有者が CAAレコードを登録することによって、認証局が証明書を誤発行してしまうリスクを減らすのがこの仕組みのねらいとされています。そこで今回は、CAA に対応している Let's Encrypt 認証局を DNS CAAレコードに設定してみました。 Let's Encrypt は自分が所有しているドメインのSSL/TLSサーバー証明書を、無料で発行してくれる認証局です。詳しくは「Let's Encrypt サーバー証明書の取得と自動更新設定メモ」の記事をご参照ください。 CAAレコードを設定できるDNSサーバー 自前でDNSサーバーを運用していれば、BINDやPowerDN
認証局(Certification Authority)が何を行うのかというと、第三者の公開鍵が、間違いなくその組織(や個人)のものだという事の証明を行います。この証明には[なりすまし]や[改ざん]を検知する仕組みが含まれています。 注意するべき点はここで構築するのが自前の認証局であり、他人からは第三者を証明するはずのこの認証局自体が信頼できない点です。その点を回避するためになんらかの安全なルートで自前の認証局の証明書をルート証明書として登録してもらう必要があります。ただしその場合、この認証局の秘密鍵の管理に責任を負う事を認識する必要があります。自前の認証局を利用するには、扱う情報の内容や利用範囲を考慮する必要があります。 認証局(CA)の作成用に、CentOS5ではシェルスクリプトが用意されています。これを使用することで容易に認証局を作成する事ができます。 # /bin/cp /etc/
写真●Comodohackerによる犯行声明 5文目に不正アクセス先の一つとして「GlobalSign」が挙げられているている GMOグローバルサインは2011年9月7日、同社が扱うすべての電子証明書の発行を一時停止することを発表した。「Comodohacker」を名乗る人物による米ComodoやオランダのDigiNotarなど一連の認証局への不正アクセスおよび不正SSL証明書の発行事件(関連記事:DigiNotarの不正SSL証明書発行、Microsoftが無効措置をアップデート)を受けての措置であるとし、停止期間は「詳細についての調査が終了するまで」(同社)としている。 Comodohackerが9月5日、複数の認証局に対して不正アクセスをした旨の声明を出した際に、不正アクセス先の一つとして同社の名前が挙げられていた(写真)。これについて同社では、声明の内容から実行犯自身による声明であ
人口約67万人の東京都足立区は、独自に構築したプライベートクラウド環境および行政サービスでのセキュリティ対策に電子証明書を利用する。電子証明書を発行する認証局も自前で構築するなど、その取り組みを紹介した。 東京23区の北東部に位置し、約67万人の人口を抱える足立区は、区民サービスの向上と業務効率化を目的に、3種類のプライベートクラウドの構築を進める。そのプライベートクラウド環境と行政サービスのセキュリティ対策に公開鍵認証基盤(PKI)による電子証明書を利用するため、認証局(CA)を独自に構築。同区がその取り組みを紹介した。 足立区は、2008年に電子自治体推進計画をスタートさせ、「内部業務系」「学校教育系」「住民情報系」の3分野の情報システム基盤となる「足立区プライベート・クラウド」の構築を2012年4月に開始した。既に内部業務系と学校教育系については構築が完了し、現在は基幹業務となる住民
プライベート認証局:設定の意味を理解して構築する手順
プライベート認証局(「プライベートCA」や「オレオレ認証局」とも呼ばれます)は、会社など限られた組織内でのみ運用する認証局です。認証局の構築用スクリプトでプライベート認証局を構築運用していたのですが、トラブルが発生した時に手も足も出ず苦労したことがありました。そこで今回はOpenSSLを使って設定の意味を理解しながらプライベート認証局を構築する手順をまとめてみました。 OpenSSLのバージョン 今回使用したOpenSSLのバージョンは次の通りです。バージョンによっては設定ファイルで指定できるオプションに違いがありますので、必ずそのバージョンのマニュアル(man)をご確認ください。 openssl version OpenSSL 3.0.7 1 Nov 2022 (Library: OpenSSL 3.0.7 1 Nov 2022) また、プライベート認証局を構築する際に、OpenSSLの
事前準備 OpenSSL インストール Apache+mod_ssl or Apache-SSL インストール 作業手順(CA構築編) 事前設定(openssl.conf修正等)
誤発行された証明書を悪用した偽Googleサーバが出現!?Android4.0以降なら認証局の証明書無効化で対策可能 | あんどろいどスマート
誤発行された証明書を悪用した偽Googleサーバが出現!?Android4.0以降なら認証局の証明書無効化で対策可能2013年01月09日06時01分 公開カテゴリー: セキュリティキーワード: チップス, ニュース Short URL ツイート HTTPSなどのサーバの信頼性を保証するための電子証明書が誤って発行され、偽サーバによる不正アクセスに悪用されていることが明らかになり、各所で波紋を呼んでいる。 Googleなどの調査によると、証明書を発行する認証局の一つ「TURKTRUST」が、通常のサーバ用の証明書を取得しようとした団体に対して、新たな証明書の発行が可能な中間認証局の証明書を誤って発行してしまっていたとのこと。この証明書を悪用して「google.com」向けの証明書が発行され、偽のGoogleサーバで使用されているのが検出されたことから発覚した。 このような偽サーバによるフィ
(旧) 猫好きモバイルアプリケーション開発者記録 オレオレ証明書を信頼のおけるSSL証明書にしてみる Vol.2 (認証局と証明書の作成)
前回の「オレオレ証明書を信頼のおけるSSL証明書にしてみる Vol.1」の続きです。 今回は実際にオレオレルート認証局、オレオレ中間認証局、オレオレSSL証明書を作成する手順を紹介していきます。 01. OpenSSLを認証局作成先サーバへインストールする これがないと始まらないので、手短に説明します。 yumでインストールしてもいいし、ソースからインストールしても構いませんが、 今回はディレクトリのパスを共通化するためにソースからのインストールを紹介します。 cd /usr/local/src wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz tar zxvf openssl-1.0.1e.tar.gz cd openssl-1.0.1e ./config --prefix=/usr/local --openssldir=/
こんにちは、cloudpack の 橋本です。 ■はじめに ▽目的 クライアント証明書でアクセス制限! 概要 サーバーやクライアント認証の証明書を発行するため、プライベートCAを構築 作成したクライアント証明書(プライベートCAの署名付き)を利用してwebコンテンツへのアクセスを制限 補足 本項、実際に私が実装した際の手順を記載したものになります。 公式Document や 各コマンドのマニュアル等を読み込み、そこから手順を起こした。とういわけではなくインターネット上の情報を私なりに整理したという程度の内容になりますため、同じ環境の方の参考になれば幸いです。 ▽今回の実装環境 CentOS 6.5 openssl 1.0.1e mod_ssl 2.2.15 apache 2.2.15 ■準備 ▽必要なパッケージ httpd openssl mod_ssl 導入していなければインストール #
イラン人の監視を目的? オランダSSL認証局「DigiNotar」に不正アクセス | トレンドマイクロ セキュリティブログ
トレンドマイクロは、イランのインターネットサービスプロバイダ(ISP)や大学が提供する40以上ものネットワークのインターネットユーザが、「DigiNotar」によって不正に発行された偽SSL証明書の被害を受けたことを確認しています。さらに、検閲および盗聴を回避するためのソフトウェアを使用していたユーザでさえも、今回の大規模な「「Man-In-The-Middle(MitM、中間者)攻撃」を免れることはできなかったことも判明しています。中間者攻撃とは、暗号通信する二者間に第三者が介在し、両者間の情報をすり変えることでユーザに気づかれることなく通信を盗聴したり制御する手口の一つで、パスワードなど重要な情報の不正取得を目的としています。 ■「Man-In-The-Middle(MitM、中間者)攻撃」のために不正発行された偽SSL証明書 SSL証明書は、インターネットバンキングやWebメールとい
高木浩光@自宅の日記 - PKIよくある勘違い(0)「サーバ証明書は単なる暗号鍵であり認証局の署名は実在証明にすぎない」
■ NEDOのサイトで4つのサプライズ Firefoxを使用して*1、NEDOのサイトにアクセスする。 一番下に「著作権 ・リンクについて」という部分がある。 サプライズ1 クリックすると第一種オレオレ証明書*2の警告が出る。 サプライズ2 「なんだかなぁ」とうなだれつつ、「OK」ボタンを押してページ内容を 読みに行くと、「原則トップページへご自由にリンクしていただいて結構」と 言いながら、上記条件に合致すれば下記登録フォームに必要事項 を記入 し送信して下さるだけで、リンクして下さって結構です。 と、電話番号か住所の送信を要求している*3。 サプライズ3 「またこういう愚かな記述が……」とぐったりしつつ、 ここで「送信」ボタンを押すと、このページは暗号化され ていますが、あなたがこのページで入力する情報は暗号化されていない接続を 通して送られようとしており、第三者が簡単に傍受できます。
高木浩光@自宅の日記 - 「First Server」の認証局?, 「オレオレ証明書/認証局」が普通の言葉に, 例示用には実在しないドメイン「example.com」等を, そ..
■ 「First Server」の認証局? NHKエンタープライズ21の「RoBoCoN公式サイト」 で「問い合わせ」という部分をクリックするとジャンプする https:// のURL にアクセスしてみたところ、サーバ証明書はこうだった。 ファーストサーバ社のことだろうか? いや、残念ながら私のブラウザでは この証明書の認証パスを辿ることができなかったので、ここに記載された名前 が真正のものかどうかはまったくわからない。信じてはいけない。 サーバ証明書なのに有効期限が10年と胡散臭いところで気づけばよいか。 というより、ファーストサーバ社は「Firstserver, Inc.」 なので違うのだろう。 ちなみに、ファーストサーバ社は、2004年6月からBIZCERTという認証局サービス を提供しているようだ。 (2) RSAセキュリティ社とのチェーン認証で二重の認証 チェーン認証で「二重の認
複数の認証局において、証明書発行時の確認が「特定のメールアドレスでのやりとりが可能であること」のみで行われています。これにより、関連するドメインの管理とは無関係な第三者によって SSL 証明書が取得され、クライアントのソフトウェア上で警告が発せられることなく HTTPS スプーフィングが行われる可能性があります。 本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#591120 の Vendor Information に掲載されている情報を参照してください。 Vendor Information for VU#591120 で "Affected" と記載されているのは、メールアドレスをもって申請者がドメインの所有者であることを確認する「ドメイン認証型 ("domain-authenticated")」の SSL 証明書を発行している
参考 粗忽な備忘録(2011-03-22) 手順 自己認証局の証明書 myCA.crt ファイルが手元にあったとして 証明書を所定の位置に設置 $sudo cp myCA.crt /usr/share/ca-certificates/ 証明書リストに追記 $sudo vi /etc/ca-certificates.conf 末尾に myCA.crt を追加(/usr/share/ca-certificates からの相対パス) 更新 $sudo update-ca-certificates update-ca-certificatesを行うことで、/etc/ssl/certs/ca-certificates.crtが更新され、 gitなどのツールでその証明書が利用できるようになる
証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ | スラド セキュリティ
先日、中国大手SSL認証局「WoSign」で不正に証明書を取得できてしまう問題が明らかになったが、これを受けてFirefoxが同社の発行した証明書をブロックする方針を固めたようだ(GIGAZINE、Threatpost)。 WoSignで明らかになった問題点として、あるドメインに対しそのサブドメインに対応付けられたサーバーの管理権限を持っていれば、そのルートドメインに対するSSL証明書を取得できるというものが挙げられていた、これ以外にもSSL証明書無料発行サービスを提供しているイスラエルのStartComを買収していたにも関わらずそれを公開していなかったり、「2016年以降発行すべきではない」とされていたSHA-1を使った証明書を日付を偽装して発行していたことなども判明しているという。
はじめに このエントリはOpenSSLを利用したPKIを構築する手順について記載します。 PKIそのものや技術背景などの記載はありません。 概要 以下のようにルートCAと中間CAを作成します。 更新履歴 2020.1.28 図の追加と引数を一部変更(example.netにしたりとか) と、おまけの、一発構築コピペテキストも修正しました。 対象機器および環境 CentOS7(7.6.1810) このエントリを読むとできること LinuxのOpenSSLを利用して ルートCAと中間CAを作成して 証明書発行できる環境が準備できる はず。 事前準備 ディレクトリ配置 mkdir -p /opt/pki mkdir /opt/pki/configs mkdir /opt/pki/crl mkdir /opt/pki/RootCA mkdir /opt/pki/InterCA mkdir /opt
デジサートは米シマンテックからWebサイトセキュリティ事業を買収し、継承した。米グーグルとシマンテックの間で起こったサーバー証明書の信頼性に関する紛争が発端だった。デジサートは、旧日本ベリサインやシマンテック日本法人から引き継いだ顧客を多数抱える。 デジサートのジョン・メリルCEO(最高経営責任者)は「日本事業はまだ伸ばす余地がある。Webサイトのセキュリティに加えて、今後はIoT(インターネット・オブ・シングズ)のセキュリティ分野での事業拡大も念頭に置き、日本で製品開発から供給・サポートまでを完結できる体制を目指す」と述べた。 ジェレミー・ローリー製品担当エグゼクティブバイスプレジデントはシマンテックからデジサートへの移行プロセスを説明した。2017年12月1日にシマンテックの全既存顧客に対し約238万件のサーバー証明書を発行。2018年9月13日までに、かつてシマンテックが発行したすべ
2011/12/19 SSL/TLS認証局に求められるべき最低要件が策定 今年はCommodoやDigiNotarなどの認証局がクラックされ、SSL/TLSの信頼が大きく揺らいだが、CA/Browserフォーラム (CABF) が「信頼できるルート認証機関」として求められるべき最低要件を規定した "Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates"(PDF) を策定した[slashdot]。今後、認証局はこの基準要件への対応が求められる。 メールで送信BlogThis!Twitter で共有するFacebook で共有する 投稿者 zubora 投稿時間 05:26 ラベル: Security, Web 0 コメント: コメントを投稿
中国の認証局CNNICが新たに発行する証明書は当面の間、ChromeとFirefoxで信頼できない証明書として扱われる。 米Googleのドメイン用に不正なデジタル証明書が発行されていた問題を巡ってGoogleとMozillaは、中国の認証局China Internet Network Information Center(CNNIC)が新たに発行する証明書を一時的に信頼できない証明書として扱うと発表した。発行済みの証明書については引き続き有効とする。 問題の証明書は、CNNICの下位の認証局(CA)であるエジプトのMCS Holdingsを通じて発行され、GoogleやMozilla、Microsoftなどの各社が3月下旬、MCS Holdingsの証明書を失効させる措置を講じていた。 Googleは4月1日のブログで、この問題について調査した結果、「CNNICのルートおよびEV CAの
CentOS7.2 64bit OpenSSLを使用して自己認証局で署名したSSLクライアント証明書を作成 | kakiro-web カキローウェブ
外部に公開しているWebサイト等でアクセス制限を行いたい場合、ユーザーIDとパスワードの入力による認証や、ファイアウォールを使用してアクセス元のIPアドレスによる制限を行うこともできますが、SSLクライアント証明書を使用することで、特定の証明書を所有する端末からのアクセスのみを許可するように制限することができます。 ここでは、CentOS7.2の標準リポジトリからインストールできるOpenSSL1.0.1eを使用して、自己認証局で署名したSSLクライアント証明書を作成する方法を、以下に示します。 ※当サイトのSSLサーバー証明書の作成に関するページでも、SSLについて記載しています。CentOS7 64bit OpenSSLを使用して秘密鍵、CSRを作成し、自己署名のSSLサーバー証明書を作成のページ、CentOS7 64bit OpenSSLを使用して秘密鍵と自己署名のSSLサーバー証明
CentOSの自己認証局で証明書を発行するときのメモです。 きちんとした証明機関の証明書を取得するまでに一時的に立てておいたりして使用します。 CentOSを用意 CentOSのVMをダウンロードします。 今回はなんとなく5.5をダウンロード。 以下より入手できます。 http://www.thoughtpolice.co.uk/vmware/ やること 証明書作成のためにやることは主に3つです。 自己認証局(CA)の構築 サーバーの署名要求証明書(CSR)の作成 自己認証局によるCSRへの署名
SSLサーバ証明書などを発行する認証局でのセキュリティ事件が続発したことを受け、日本ベリサインが電子証明書の最新事情や認証局の取り組みについて説明を行った。 日本ベリサインは2月8日、メディア向け説明会を実施し、電子証明書の最新動向や認証局(CA)での取り組みについて紹介した。説明会は、2011年に海外のCAでセキュリティ事件が多発したことを受け、電子証明書の信頼回復に向けた取り組みの一環として実施したという。その模様をお届けする。 CAをめぐる大規模なセキュリティ事件が2011年に2件発生した。事件の1つは、3月に発覚したSSL認証局のComodo Groupでの偽のSSL証明書の発行、もう1件は8月に発覚したオランダのSSL認証局DigiNotarでの偽のSSL証明書の発行である。なお同年6月には、イスラエルのSSL認証局StartSSが不正アクセス攻撃を受けて、証明書の発行を停止する
認証局とは? 認証局(CA:Certification Authority)の主な役割は「電子証明書の発行と失効」です。 認証局の役割 認証局(CA:Certification Authority)の役割の一つ目は電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。 二つ目の役割は、失効の依頼を受けた電子証明書や秘密鍵の危殆化の可能性のある証明書を失効させることです。 電子証明書の所有者が自分の秘密鍵を紛失したり盗まれたりして、その秘密鍵が悪意のある者の手に渡ってしまった場合、本来の所有者になりすますことができてしまいます。 そのため、所有者は秘密鍵を盗まれてしまった場合などは、そのことを直ちに認証局に届け出て、証明書の失効処理を行わなければならなりません。
2月8日、日本ベリサインはSSLサーバーの認証局や証明書などを用いたWebセキュリティに関する勉強会を開催した。発生した偽造証明書の事件などを引き合いに、認証局の選び方や業界標準化の流れ、さらにSSLの暗号アルゴリズムの強度に関するトピックが紹介された。 事件は認証局で起きていた! 勉強会の冒頭、日本ベリサイン SSL製品本部 プロダクトマーケティングチーム アシスタントマネージャー 上杉謙二氏は、まず前提となる認証局とSSLの仕組みについて説明を行なった。 ご存じの通り、SSLサーバー証明書は、Webブラウザから通信相手となるWebサーバーを認証するもの。認証局(CA)と呼ばれる証明書発行機関が、独自の安全基準に基づいて証明書を作成し、サーバー管理者はこれをWebサーバーに登録。一方、WebブラウザにはCAのルート証明書がプレインストールされており、通信時にはこのルート証明書とWebサー
WebブラウザのURLバーでよく目にする「https」や「カギマーク」。参照するWebサイトが正規のサイトであり、SSL暗号化通信が確立できていることを示すSSLサーバー証明書は、サイト閲覧者に安心と信頼をもたらす重要な仕組みだ。そんなSSLサーバー証明書を発行するシマンテックの認証局を見学してきた。 ミリタリーグレードのセキュリティに守られた認証局 サンフランシスコ市街地から黒塗りのリムジンに揺られること約1時間(さすがに目隠しされることはなかったが……)。シリコンバレーの中心にあるマウンテンビューへ到着した私は、シマンテック本社からやや離れた建物へと案内された。標識も案内板も何もなく、他のビルに紛れ込むように佇む住所非公開のその建物が、シマンテックの認証局を擁するデータセンターだ。 受付に行くと、24時間365日体制の有人警備や監視カメラが配備されていた。そこから先の中枢部へ進むには、
GMOグローバルサインは12月22日、複数ドメインでSSLサーバ証明書を申請するニーズに対応する「第二世代ワンクリックSSL」サービスの提供を開始したことを発表した。自社内で複数の証明書を利用する直販の顧客、ホスティング事業者などの再販パートナーに提供する。 第二世代ワンクリックSSLは、同社がこれまで提供してきたサーバ管理ツールと認証局の自動連携を実現できるAPIサービス「ワンクリックSSL」の拡張版となる。CSRの作成やSSLサーバ証明書のインストールといったウェブサーバの設定と、APIの呼び出しが簡単に行えるツールを提供することで、サーバ管理ツールとの連携を簡素化、個別開発の省力化と導入までのスピード向上が実現できるという。 利用者とGMOグローバルサインのサーバ間の通信を、新たな認証方式でSSL暗号化することで従来の認証方式よりも安全に認証できるという。月単位での契約も対応している
Microsoft、SSL認証局問題に再び対処
マレーシアのSSL認証局DigiCert Sdn. Bhdの証明書に問題が見つかったことで、米Microsoftはこの認証局が発行した証明書を失効させるアップデートを公開した。 マレーシアのSSL認証局DigiCert Sdn. Bhdの証明書に不備が見つかった問題で、米Microsoftは11月10日(現地時間)、DigiCert Sdn. Bhdの証明書を失効させる更新プログラムをサポート対象のWindows(Windows Phone/Mobileを除く)向けにリリースした。更新プログラムはWindows Updateで入手できる。 この問題は、米Entrust傘下の下位認証局DigiCert Sdn. Bhdが発行した証明書に、暗号強度が脆弱な512ビットのRSA鍵を使用されていたもので、同社は22件の脆弱な証明書を発行していた。 攻撃者がこの証明書を悪用すると、不正サイトを正規サ
プライベートCA(認証局)の構築
1.OpenSSLのコンフィグファイル opensslコマンドがデフォルトで参照するコンフィグファイルを編集します。 このコンフィグファイルは実はあってもなくても関係ないのですが、あるのとないのとでは、使い勝手が大きく変わります。 コンフィグファイルが適当だと、オプションをコマンドラインにのせる必要があるため、必然的にコマンドが長くなります。 コンフィグファイルを書いておくと、デフォルト値が決まるので、コマンドラインが短くなります。 このコンテンツはコンフィグをがんばって書いたおかげでコマンドラインが短くなっていますのでご注意ください。 そのコンフィグファイルですが、おおざっぱに分類するとCA業務を行うときに参照する部分と、発行要求(CSR)を作成するときに参照する部分に分かれるようです。 CA業務を行う部分の設定はCAの設定が完了してからでも間に合います。 最初はピンとこな
SSL証明書を発行する場合、認証局はその依頼者がドメインの管理者であることを確認する必要があるが、この際にメールアドレスによる簡単な確認のみで証明書が発行されるケースが問題視されている(JVNVU#92002857)。 指摘されているのは、ユーザーにメールアドレスを発行するようなサービスを運営するホストでの危険性。たとえば「BuyHTTP」という証明書発行サービスでは、adminやadministrator、webmaster、hostmaster、postmaster、root、ssladmin、info、is、it、mis、ssladministrator、sslwebmasterといったアカウント名+@ドメイン名、というメールアドレスでの確認のみで証明書を購入できるという。こういったメールアドレスをユーザーが取得できてしまうと、第三者が勝手にそのドメインでのSSL証明書を入手できる可
自堕落な技術者の日記 : 米ユタのDigiCertとは無関係なマレーシアのDigicert Sdn認証局の問題について見てみたぞ - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 2011年11月3日のニュース でマレーシアのDigicert Sdn. Bhd.社という認証局が問題のある証明書を発行しており 現在、解読が可能とされている512bitのRSA鍵の証明書を発行している SSLサーバー証明書として使うには証明書の拡張領域に問題があった マレーシア政府機関に発行したものにも512bitの弱い鍵が使われている 発行した22枚の証明書で512bit鍵が使われている そのような運用が問題視され、 MicrosoftやMozillaが問題のあったマレーシアのDigicert Sdnの中間証明書を ブラックリストに入れた。FireFoxでは8からの対応になる。 Digicert Sdnの上位のルート認証局であるEntru
どこぞでの関連まとめから転載(文中の俺とは別人です) Android 2.x のみ正規手順で対策法なし、それ以外では対策済みか手動での対策法がある模様 iOSはこのまとめだと安全なことになってるけど多分ダメで、祈るしかない ガラケーさんは…その。。。 アフィサイトじゃないから転載してもいいよね・・・ 569 :番組の途中ですがアフィサイトへの転載は禁止です:2013/01/09(水) 15:27:24.81 ID:MEAnCo7+0 ▼対策したい人は - PC (ソースは全体的に俺だから保証しない) ○OSに関わらず Opera → 既に対策済みバージョン配布中 Firefox → 18.0 / ESR 10.0.12 / ESR 17.0.2 で対応 (管理者アカウントで起動しているなら自動的にアップデートされるはず) 手動でアップデートする場合は 左上のFirefoxメニュー > ヘ
JINS PC を使い始めました。普段はメガネをかけていないため、レンズに照明がうつり込むのが気になる、耳が痛い、と気になって気になってしかたがない yone です。効果があればよいのですが。 1. オレオレ認証局の活用 前回の記事で、オレオレ認証局 (プライベート認証局) の構築と、それを使ったウェブサーバ証明書の発行を紹介しました。記事の最後に、その他の証明書活用を紹介しましたが、今回はそのなかから「クライアント証明書」の事例を解説します。 2. クライアント証明書 一般公開しているウェブページではなく、特定の人だけに見せたいページを作る場合、Basic 認証を使うことが多いでしょう。ほぼ全てのブラウザが対応しており、広く使われています。 お手軽でよいのですが、盗聴・改竄に弱いという弱点があります。弱点を改善した Digest 認証というものがありますが、Basic 認証ほど普及してい
AWS IoT Core がお客様に提供する Symantec の認証局無効化の対応方法 | Amazon Web Services
Amazon Web Services ブログ AWS IoT Core がお客様に提供する Symantec の認証局無効化の対応方法 NOTE: このブログの投稿は、AWS IoT Core に接続するブラウザとモバイルアプリに関連する重要な公開鍵暗号基盤(PKI)の問題について記します。公開鍵証明書と TLS に関する情報については、High Performance Browser Networking の Chain of Trust and Certificate Authorities を参照してください。 概要 Google, Apple および Mozilla は、2018年10月より、AWS IoT Core がサーバ証明書の署名に利用する VeriSign クラス 3 Public Primary G5 ルート CA 証明書 を含む、あらゆるシマンテック社のルート認証局
認証局 - Wikipedia
公開鍵証明書の発行プロセス 暗号において、公開鍵証明書認証局または認証局 (CA、Certificate Authority、Certification Authority) は、他の当事者にデジタル 公開鍵証明書 を発行する実体である。これは、信頼できる第三者機関(英語版) (trusted third party, TPP) の例である。 サービスに課金する商用CAは多い。政府などではCAを独自に立てていることがあり、またそれ以外に無料のCAもある。 CAは、公開鍵証明書を発行する。公開鍵証明書には公開鍵と持ち主の記載があり、記載の個人、組織、サーバその他の実体がこの公開鍵に対応した私有鍵(秘密鍵[1])の持ち主だと証言する。このスキームにおけるCAの義務は、CAの発行した証明書にある情報を利用者が信頼できるよう、申請者の身分を確認することである。もし利用者がCAを信じ、かつCAの署名
SSLサーバ証明書の認証局には、シマンテック、グローバルサイン…など多くのブランドが存在します。そこで、ここではそれぞれの特徴について解説します。 また本文中で代理店経由の割引などについて言及がありますが、実際の価格については下記の記事を参考にしてください。 ・参考記事:SSLサーバ証明書の料金比較と選び方総まとめ シマンテック(Symantec)※旧ベリサイン 高い知名度と信頼性 シマンテックは、知名度・信頼性ともにトップクラスの認証局です。なお以前は「ベリサイン」の名称で提供されていましたが、2012年にシマンテックの完全子会社となったことで、SSLに関しても現在の名称に変更となりました。 もともとベリサイン時代から高いブランドイメージを誇っていましたが、ウイルス対策ソフトとしても広く認知されているシマンテックの名を冠したことで、一般ユーザーにさらに安心感を与えられるようになりました。
★ポイント 自前で認証局を立てる場合は、認証局側の作業とユーザー(サーバ管理者)側の作業をごっちゃにしないこと。 認証局側の作業をしているときは、「自分はベリサイン」と繰り返しつぶやきながらやる。 ===認証局の証明書の作成(認証局側の作業)=== ①opnessl.cnfの編集(2箇所) コメントついてるのでコメントを外す(もしかしたらしなくてもいいのかも) [ usr_cert ] nsCertType = server ←ここ [ v3_ca ] nsCertType = sslCA, emailCA ←ここ ②作業用ディレクトリ作成 必須じゃないけどやっといたほうがよい。 mkdir /usr/local/openssl/hogeCA ③作業用ディレクトリに証明書作成スクリプトをコピー これも必須じゃないけど、中身書き換えたりするからやっ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
不正証明書発行の認証局、セキュリティ対策の実態は? オランダ政府が中間報告書
DNS CAAレコードに Let's Encrypt 認証局を設定する
CentOS5 認証局(CA)の構築 - itochif.com
GMOグローバルサインが電子証明書の発行業務を停止、一連の認証局不正アクセス事件を受け
プライベートクラウドは電子証明書で守る――認証局も独自構築した足立区
MozillaとMS、信頼される中間認証局からDigicert Malaysiaを削除へ
独自SSLサーバ認証局(CA)作成とサーバ証明書発行 - Qiita
プライベート認証局(CA)にてクライアント証明書の発行 | iret.media
JVNVU#92002857: 複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題
ubuntuに自己認証局の証明書を登録
OpenSSLでプライベート認証局の構築(ルートCA、中間CA) - Qiita
シマンテックからWeb証明書事業を継承したデジサート、日本に認証局新設へ
yebo blog: SSL/TLS認証局に求められるべき最低要件が策定
GoogleとMozilla、中国認証局の新規証明書を一時的に失効
CentOSの自己認証局で証明書を発行する方法
電子証明書をめぐる最新事情――認証局の信頼性や標準化、「2010年問題」のその後
認証局 (CA:Certification Authority)とは?|GMOグローバルサイン【公式】
そんな認証局で大丈夫か?ベリサインが指摘するWebの課題
そうだ、認証局行こう!SSLサーバー証明書発行の現場を見た
GMOグローバルサイン、サーバ管理ツールと認証局を自動連携させるAPI提供
メールアドレスのみの確認でSSL証明書を発行している認証局における問題 | スラド セキュリティ
トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる | スラド セキュリティ
オレオレ認証局でクライアント認証 ~ ウェブの Basic 認証をリプレース - OPTPiX Labs Blog
SSLサーバ証明書の認証局(ブランド)の種類と違い | ServerKurabe
自前で認証局を立てて、オレオレ証明書でApacheでSSL - Javaとrubyと男と女