Let's Encrypt を発表してから、私たちはよく、「どうやってフィッシング詐欺サイトやマルウェア配布サイトにSSL/TLSサーバ証明書を発行しないことを保証しているのか」と尋ねられます。 最もよくあるのは、「フィッシング詐欺サイトやマルウェア配布サイトが有効な HTTPS 証明書を持ってしまうと、それらのサイトがより正当なサイトに見えてしまい、それらのサイトを信用してしまう人々が増えてしまうのではないか」という懸念です。 この問題についての方針を決めることは、とても困難です。 一方で、私たちはフィッシング詐欺サイトやマルウェア配布サイトを他の誰よりも嫌っており、私たちの使命はより安全で安心できるWebの構築を助けることだと考えています。 しかしもう一方では、2015年現在の段階において、私たちが(フィッシング詐欺サイトやマルウェア配布サイトに対しても、他のWebサイトに対してと同じ
公式ドキュメントはこちらです。 Azure IoT Hub X.509 CA セキュリティの概要概要 - X.509 証明機関を使用して IoT Hub に対してデバイスを認証する方法。Microsoft Docseustaceaこちらの手順で構築した認証局を作成しました。この独自認証局で生成したデバイス証明書を使ってAzure IoT Hubへ接続します。 手順IoT Hubの作成AzureのIoT Hub管理画面を開き、IoTハブの作成をクリックします。 IoT Hub名を入力し、確認及び作成をクリック、作成をクリックします。 ルート証明書の登録ルート証明書を登録します。左の証明書メニューを選択し、追加をクリックします。 証明署名を入力、private_root_CA.pemを選択、アップロード時に証明書の状態を確認済みに設定するにチェックを入れ、保存をクリックします。 デバイスの登録
【インタビュー】EV SSLとSSL、その違いと信頼基盤としての認証局の取り組み - ベリサインに聞く(2) | ネット | マイコミジャーナル
EV SSLと従来のSSL、2種類のサーバ証明書はどう違う? 日本国内でも金融機関をはじめ、様々な業種のWebサイトにEV SSL証明書が導入されるケースが増えている。その証明書は、マイクロソフトなどのWebブラウザベンダやベリサインなどの認証局(CA、Certificate Authority)などで構成される「CA/ブラウザフォーラム」が策定した世界共通の審査基準のもとで発行されるが、従来のSSLサーバ証明書とくらべ何がどう変わったのか。また発行される証明書自体に違いはあるのだろうか。日本ベリサインの平岩義正氏と上杉謙二氏に、従来のSSLとEV SSLという2種類のサーバ証明書の相違点と、認証業務を行なう認証局自体の信頼性について聞いた。 日本ベリサイン マスマーケット営業部 部長 平岩義正氏 日本ベリサイン マーケティング部プロダクトマーケティング シニアプロダクトマネージャ 上杉謙
【認証局】SSLに関するスレ1枚目【ぼろ儲け】
1 :リアル3歳児 ◆DVDR/r8S8s :03/12/14 03:11 ID:Z1USuUcd セキュ板でもUNIX板でも、ろくすっぽ話題にならないので立ててみますた。 自宅サーバでもSSLきちっと使いたい人は多いと思う。 ただ、自分だけで使うならともかく、公開するならCAの問題つーか 証明書取るコストが問題なんですよね。 また技術的な面でも色々情報交換しましょう。 今はhttp以外のプロトコルでもSSLを使った実装が増えてきてますし。 2 :DNS未登録さん:03/12/14 03:22 ID:??? 2枚目はないよ 3 :DNS未登録さん:03/12/14 03:36 ID:Z1USuUcd (参考) 認証局関連のリンク ttp://www.nakajima.com/takao/secuca001.html 自前認証局でSSLクライアント認証 ttp://evo.human.was
同僚に教えてもらった。 https://cert.startcom.org/ CA 証明書が予めインストールされているブラウザは下記 URI の通り。 https://cert.startcom.org/?app=140 内輪向けのウェブサービスにぴったりだったので、早速、使わせてもらった。ありがたやぁ。
Prev Next サーバ構築 今話題の (?) オレオレ認証局を Plamo Linux 4.01 で作成するお話. もちろん,自ドメイン内の認証を仲間内で行うためのものなので,この程度で良いのである. インストール † Plamo-4.01 標準では openssl-0.9.7d がインストールされるが,最新の 0.9.7e をインストールする (今は 0.9.7i が最新です). % tar zxvf openssl-0.9.7e.tar.gz % cd openssl-0.9.7e % ./config shared --prefix=/usr % make % make test # make install ↑ 設定 † インストールは既に済んでいるので認証局として運営を開始するには以下が必要. 設定ファイル (openssl.cnf) の作成 秘密鍵・公開鍵の作成 ↑ 設定
CA(認証局)の構築easy-rsaのインストール# apt-get install easy-rsa CA管理用のユーザーを作成プライベートCAの操作を実行するための(rootではない)ユーザーを作成します。また、sudoを実行できるようにします。 # adduser ca ユーザー `ca' を追加しています... 新しいグループ `ca' (1002) を追加しています... 新しいユーザー `ca' (1002) をグループ `ca' に追加しています... ホームディレクトリ `/home/ca' を作成しています... `/etc/skel' からファイルをコピーしています... 新しいパスワード: 新しいパスワードを再入力してください: passwd: パスワードは正しく更新されました ca のユーザ情報を変更中 新しい値を入力してください。標準設定値を使うならリターンを押し
DockerコンテナでHTTPS通信をする必要があったので、オレオレ認証局コンテナを作成してオレオレルート証明書を発行し、サーバ証明書に署名しました。 オレオレ認証局についての記事はすでにたくさんありますがメモとして残しておきます。 Docker固有の操作は最初の方だけなので、OpenSSLの操作にのみ興味のある方は「オレオレルート証明書の作成」まで飛んでください。 署名の詳しい仕組みについては扱いません。 環境 ・Windows 10 Home 20H2 ・Docker version 20.10.2 オレオレ認証局コンテナの作成 まずはオレオレ認証局コンテナを作成します。 OpenSSLで署名鍵(秘密鍵)や証明書を扱うのでAlpine Linuxのイメージを元にオレオレ認証局のイメージを作っていきましょう。
最近、インターネットの無害化などで、Horizon Viewを検討されるユーザーさんが増えているようです。Horizon Viewを利用すれば、VDIももちろんですが、RDSHを利用した低コストなインターネットブラウザーの配布も可能になります。もちろん、管理も楽になり、セキュリティリスクもHorizon Viewを導入することで大幅に低減します。 さて、Viewを利用するためにまず1番最初に必要なのは「Connection Server」ですね。別名Manager Serverなどとも呼ばれることがあります。 (Connection Serverの前にADやvSphere基盤は必要ですが・・・) View Administeratorにログインすると、各サーバーのステータスが表示されますが、デフォルトですと接続サーバー(Connection Serverのことですね)が赤くなっており、証明
「ICカードを認識できませんでした。ご利用の認証局で必要な設定を確認の上、再度操作を行ってください。・・・」のメッセージが表示されました。どうすればいいですか。| 【e-Tax】国税電子申告・納税システム(イータックス)
「ICカードを認識できませんでした。ご利用の認証局で必要な設定を確認の上、再度操作を行ってください。・・・」のメッセージが表示されました。どうすればいいですか。 「ICカードを認識できませんでした。」と表示される原因として、次の事由が考えられます。 ICカードリーダライタを使用するための設定作業(デバイスドライバのインストール)が正しく行われていない。 認証局からCD-ROM等で提供されるプログラムのインストールが正しく行われていない。 ICカードが正常にセットされていない。 ICカードリーダライタが正常に接続されていない。 なお、「1 デバイスドライバのインストール」→「2 認証局から提供されるプログラムのインストール」の順番でインストールを行ってください。 デバイスドライバのインストール ICカードリーダライタの使用に当たっては、購入時に付属されているインストールマニュアル等(紙媒体及
マルチドメイン証明書では、Common Nameで「*.examle.com」という記載方法もありますが、Exchangeなど一部ではSAN属性にいれたマルチドメイン形式でないとただしく認識されないケースもあります。 ここでは、SANでの証明書認証方法をメモしておきます。 本動作は、Windows Server 2012 R2以上で動作確認しております。 Windows Server 2022でもこの操作で同様に動作します。 ##証明書発行手順 PowerShellで以下を実行します。 certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 net stop certsvc net start certsvc ##IISでCSRを作成する IISマネージャーを開き、ホストを選択し、証明書を選択します。 右ペインの証
OpenSSLを使うとローカル認証局を構築することが可能である。組織内やテスト目的の証明書を管理することが可能となります。 CAを構築するためにopensslコマンドを使用することになるが、オプションが複雑なため、対話的に処理を行うためのスクリプトであるCAを使える。 1、CAスクリプトのオプションを確認する # /etc/pki/tls/misc/CA -h usage: /etc/pki/tls/misc/CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify 新規CAの作成 CA -newcaで新しいCAを対話的に作成すとことができる。 #/etc/pki/tls/misc/CA -newca CA certificate filename (or enter to create) Making CA certificate ..
nginxでssl (自己認証局)
h = {one: nil} p h[:one] #=> nil p h[:two] #=> nil HashでKeyからValue引っ張る場合、これだとKey がないのか、Valueがnilなのか分からない Hash#fetchを使うp h.fetch(:one) #=> nil p h.fetch(:two) #=> key not found (KeyError) p h.fetch(:two,"error") #=> "error" p h.fetch(:two){|key|"#{key} not exist"} #=> "two not exist" 意識して使い分けたいねー どういうドメインが良いか? 結論ドメイン何でもいい(どうでもいい)と思います。サービスが使えるかどうかが全てで。 by
設定ファイルの準備 共通 /etc/pki/tls/openssl.cnfをコピー 以下の3ファイルを作成し、「/etc/pki/caCrt」に配置する openssl-ca.cnf openssl-server.cnf openssl-client.cnf すべてのファイルに以下の修正を加える
またしても、認証局がハッキングされた。 マイクロソフトは8月30日、セキュリティ アドバイザリ(2607712)において「マイクロソフトの証明書信頼リストから DigiNotar のルート証明書を削除しました」と発表しているが、今回ハッキングされたのはオランダの認証局のDigiNotar社だ。 DigiNotar社はVasco社の子会社で、Vasco社のプレスリリースによると「7月19日にDigiNotar社は、Googleを含む偽のPublic Key Certificateを発行する結果となったCAインフラに対する侵入を発見」し、侵入を発見後「対策を取り、第三者機関に監査を依頼して偽の証明書はすべて取消しされたと確認した」が、「最近になってオランダ政府のGovcertから、少なくともひとつの証明書が取消しされずに残っていることを知らされ、即座にこれを取り消した」と発表している。この
私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。 問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。 公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020
RDS 認証局証明書更新方法 - Qiita
なるべく他に影響が出ないようにするには、rds-ca-2019と同じアルゴリズムのRSA2048を 使用しているrds-ca-rsa2048-g1に変更するのがよいと思います。 ■クライアント側の対応 証明書バンドルを使ったSSL/TLS通信をしていない場合は、クライアント側の更新作業は不要となります。 データベース側の証明書を更新した場合でも、問題なく接続することが可能です。 *参考 手順 1.事前情報確認 まず、変更対象のデータベースについて変更後に再起動が発生するかどうかを確認します。 RDSのトップ画面、左側メニューの下部にある「証明書の更新」をクリックします。 「証明書の更新が必要なデータベース」にて、対象のデータベースの「再起動が必要です」列をチェックします。 DBエンジンやバージョンで再起動の有無が異なるようなので、確認を推奨します。 RDSのトップ画面に戻り、対象データベー
はじめに CT(Certificate Transperency)の仕組みにより、認証局がどのような証明書を発行したかという情報は調べることができます。 crt.sh というツールを使用して、特定の認証局で発行された証明書の一覧を検索してみたいと思います。 crt.sh 認証局を選ぶ 私の環境でデフォルトでインストールされているルート証明書の中から、 適当な認証局を選びます。例えば、国内のルート認証局であるセコムにしてみます。 $ ls /usr/share/ca-certificates/mozilla/ | grep Security Security_Communication_EV_RootCA1.crt Security_Communication_RootCA2.crt Security_Communication_Root_CA.crt Security_Communicat
スマートホームの標準規格「Matter」が始動、デジサートのルート認証局を承認:IoTセキュリティ デジサート・ジャパンは、スマートホーム機器のIoTセキュリティと認証の標準規格としてCSA(Connectivity Standards Alliance)が策定を進めているMatterについて、米国本社であるデジサート(DigiCert)のルート認証局がMatterデバイス認証局としてCSAに世界で初めて承認されたことを発表した。 デジサート・ジャパンは2022年10月12日、スマートホーム機器のIoT(モノのインターネット)セキュリティと認証の標準規格としてCSA(Connectivity Standards Alliance)が策定を進めているMatterについて、米国本社であるデジサート(DigiCert)のルート認証局がMatterデバイス認証局としてCSAに世界で初めて承認された
GMOグローバルサイン株式会社(以下、グローバルサイン)は9月1日、独自構築のプライベート認証局にGlobalSignの信頼を付与する「パブリックルート署名サービス」を提供開始した。 同サービスは、企業のプライベート認証局をGlobalSignのルート証明書で署名することで、パブリック認証局の信頼を付与するもの。 一般的に組織が独自構築したPKIは、社内サーバーへのアクセスコントロールなど特定ユーザー向けの「認証」、すなわち「プライベート認証局」が主な用途だった。ところが最近では「署名」としての用途も拡大している。証明書をメールや文書のデジタル署名として組織を超えて利用する場合には、パブリックの信頼が欠かせないのだが、プライベート認証局のルート証明書は、信頼されたルート証明機関として事前登録されていないため、メールや文書の受け取り側で、真偽を問うセキュリティ警告が表示されてしまう。 パブリ
OpenSSLで1つのOS上で複数の認証局作って検証したいとき - pusuke0418’s diary
証明書を使うシステムを検証してるときに少しずつ証明書の設定を変えながら行いたいときがある。1つのOS上でCAを増やしながらOpenSSLでなんとなくこうやるという記録。環境はCentos6.5, openssl-1.0.1e-30.el6_6.5.x86_64。 そしてこの情報もまた参考です。証明書関連のお取扱いは慎重に、ご注意をください。 今回は2つ。まず、認証局用ディレクトリを2つ作って、openssl.cnfをそれぞれ配備する。 # mkdir /opt/ca01 # mkdir /opt/ca02 # cp /etc/pki/tls/openssl.cnf /opt/ca01/openssl.cnf # cp /etc/pki/tls/openssl.cnf /opt/ca02/openssl.cnf で、それぞれのファイルを編集する。今回下記のあたりのみ。"dir="部分にてディ
公式ドキュメントはこちらです。 コンソールに CA 証明書を登録するための CA 検証証明書を作成する - AWS IoT Core続行する前に、同じコンピュータで次のものが揃っていることを確認してください :AWS IoT Coreこちらの手順で構築した認証局を作成しました。この独自認証局で生成したデバイス証明書を使ってAWS IoT Coreへ接続します。 手順検証証明書の作成マネジメントコンソールでCA証明書まで遷移し、CA証明書を登録ボタンをクリックします。 ページ中程に説明のある検証証明書を作成する必要があります。登録コードはこの後必要なのでコピーしておきます。 OpenSSLで以下のコマンドを実行します。 openssl genrsa -out verification_cert_key_filename.key 2048鍵ファイルが作成されます。続いてこちらのコマンドでCSR
政府共用認証局
自己署名証明書ダウンロードおよびインストール方法 政府共用認証局自己署名証明書のダウンロードおよびインストールは、以下の手順により行います。
記事「自分で発行したサーバー証明書(オレオレ証明書)をブラウザに登録する方法」で、chrome, firefoxなどブラウザに、サーバーが自分で発行したサーバー証明書を登録する方法を紹介しました。 vagrantなど仮想マシンで、SSL化したWebサイトの開発を行う際に、役に立つ方法です。 上記記事では、認証局でなく自分がサーバー証明書を作成してたので、ブラウザには「このサーバー証明書は信頼して大丈夫」というように「信用できるサーバー」として個別に登録していたのでした。 そして、このやり方では、Firefoxでは、うまく登録することができませんでした。 今回は、Firefoxでもうまくいく自己発行型の認証局、またの名をオレオレ認証局の証明書を登録する方法を紹介します。 ※仮想サーバーで サーバー証明書や認証局の証明書を発行して、サイトをSSL化する方法は、別記事で紹介しますね。 オレオレ認
Java プログラムからとあるサーバ証明書の認証が上手く行かなかったので調べた。 JDK には cacerts というファイルが含まれていて、Java プログラムが動作する時に参照する「ルート認証局」の証明書が管理されているようだった。 ブラウザなんかが持っている認証局情報とはまた違うようなので、どんな認証局が登録されているか確認してみる。 cacerts ファイルの場所 中身を見る 認証局を知る cacerts ファイルの場所 cacerts ファイルは JAVA_HOME 配下、./lib/security/ に格納されている。 MacOS で $ brew cask install java と叩いて、OpenJDK 11.0.2 をインストールした場合のフルパスは以下のようになった。 /Library/Java/JavaVirtualMachines/openjdk-11.0.2.
認証局のインストールチェッカー
Check your CSR Remove cross certificates View browser warnings Check certificate installation Search certificate logs Check your SSL/TLS certificate installation Enter the URL of the server that you want to check.
環境省認証局運用管理規程(CP/CPS)
.........................................................................................................................1 .........................................................................................................................1 ..................................................................................2 ......................................................................
eSecurity Planetは7月5日(現地時間)、「Chrome to Block Entrust Certificates in November 2024」において、公開鍵証明書認証局(CA: Certificate Authority)の「Entrust」の信頼喪失について伝えた。Entrustは20年以上の実績を持つ公開鍵証明書認証局(CA)の1つで、発行した電子証明書は数百万のWebサイトで利用されているという。eSecurity Planetは、GoogleセキュリティチームがEntrustを信頼しないと発表した経緯や影響について解説している。 Chrome to Block Entrust Certificates in November 2024 Entrustの信頼喪失 Googleセキュリティチームは6月27日(米国時間)、「Google Online Secur
総務省認証局は、平成20年9月19日をもって政府認証基盤(GPKI)におけるブリッジ認証局との相互認証を解消しました。相互認証解消後は総務省認証局から発行された証明書は効力を有しません。 総務省認証局は、平成20年9月22日をもって認証業務を終了、認証局を廃止するとともに、当該認証業務を政府共用認証局に移行しました。総務省認証局及び総務省運用支援認証局のアーカイブデータは政府共用認証局において保管し、その他監査ログ、監査報告書等は大臣官房企画課情報システム室において保管します。 なお、原則として開示はいたしません。 ※ 政府共用認証局のサイトはこちらです。 (以下は失効済の証明書等に係る情報です。総務省認証局は上記の通り相互認証及び認証業務を終了しています) 総務省認証局は、平成14年3月にブリッジ認証局との相互認証を実施し、政府認証基盤(GPKI)を構成する認証局として運営を開始しました
ここでは「OpenSSL で認証局 (CA) を構築する手順」で紹介した手順に従って構築した認証局(CA)を使って、 SSL/TLS 通信で利用するサーバ証明書を発行する方法を説明します。 サーバ証明書があるときに Node + Express で SSL/TLS 通信を行う具体的な設定・コード例については、 「OpenSSL で構築した認証局 (CA) で発行したサーバ証明書を利用して HTTPS 通信する方法」をみてください。 1. サーバ証明書発行までの流れとポイント 1-1. サーバー証明書発行の流れ HTTPS 通信を行うためには「サーバ証明書」が必要です。サーバ証明書を作成するにはまずは、ウェブサーバーの管理者が CSR (証明書署名要求 Certificate Signing Request) を作成するところから始めます。 CSR を作成するには、ウェブサーバーの秘密鍵が必
OpenVPN設定 - 認証局の設置
OpenVPNはPKI(Public Key Infrastructure:公開鍵基盤)に基づいたSSL VPNです。PKIにおいては鍵(Key)と証明書(Certification)の組み合わせでセキュリティを保つことになりますが、その鍵と証明書を作成、管理するために必要になるのが認証局(Certificate Authority:CAとも略される)で、いわばOpenVPNの認証(ユーザー管理)の中枢となる部分です。 OpenVPNの設定は、まずこの認証局を設置することから始めます。 CAの役割を簡単にまとめると、「安全な通信を行うために必要な鍵と証明書を発行・管理すること」となります。Webサイトで使用されるSSL証明書は外部の認証局(ベリサインなど)を利用するのが一般的ですが、OpenVPNの場合は通常、独自に認証局を設置します。 認証局を設置すると聞くとちょっと大掛かりな感じがしま
ヒント CAcert.orgは無料でサーバ証明書を発行してくれます。 ただしIEなどのブラウザにルート証明機関として登録されていないので手動で登録する必要があります。 更新はとても簡単です。半年に一回送られてくるメールのリンクをクリックするだけです。
『中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針』へのコメント
ブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有
昨日、登記・供託オンライン申請システムのお知らせ一覧に政府共用認証局自己署名証明書を更新してくださいというお知らせがありました。 新政府共用認証局自己署名証明書,ソフトウェアに付与されている電子署名及びサーバ証明書の更新について が、リンク先のPDFには IE しかなかったので、需要があるかはわかりませんが Firefox と Safari の更新方法を追加してみます。詳しいことはわかりませんので、自己責任でお願いします(笑) まずは政府認証基盤(GPKI)のページからアプリケーション認証局2にアクセス。 すると「接続の安全性が確認できません」という表示がでてくるので「危険性を理解した上で接続するには」から「例外を追加…」をクリックし、セキュリティ例外を承認。 新しい認証局(CA)を信頼するように求められています…という表示がでてくるので「証明書を表示」をクリックし、以下の文字列とフィンガ
1.概要 全国大学共同電子認証基盤(UPKI)構築を目的に,大学等において認証局を容易に立ち上げることを支援するための「大学向け認証局スタートパック」を開発いたしました。このスタートパックを用いて,商用の製品と同等の機能・性能を持つオープンソースの認証局ソフトウェア(NAREGI-CA)を簡単に構築・運用することが可能となります。 ※NAREGI-CAソフトウェアとは「最先端・高性能汎用スーパーコンピュータの開発利用プロジェクト:NAREGIプログラム」が開発したもので多くの運用実績を持っています。 ※NAREGIプログラムの詳細は,次のWebページをご覧下さい。 (http://www.naregi.org/) 2.スタートパックの内容 大学向け認証局スタートパックで提供する機能は以下のとおりです。 【機能一覧】 NAREGI-CA基本設定スクリプト 学内認証局としてNAREGI-CA
(小ネタ)2024/1/26以降でRDS新規構築時に認証局(CA)のデフォルトがrds-ca-rsa2048-g1に変更されるか試してみた | DevelopersIO
(小ネタ)2024/1/26以降でRDS新規構築時に認証局(CA)のデフォルトがrds-ca-rsa2048-g1に変更されるか試してみた こんにちは!コンサル部のinomaso(@inomasosan)です。 以前、RDS新規構築時のデフォルトCA(rds-ca-2019)は2024/8に期限切れとなるため注意喚起のブログを書かせていただきました。 その後、Amazon Web Services ブログにて2024/1/26以降は新しいDBインスタンス作成時はデフォルトCAがrds-ca-rsa2048-g1に変更される旨が記載されているので試してみました。 先に結論 2024/1/31時点でAWSアカウントによってはデフォルトCAが変更されてないようなので、もうしばらくは明示的に指定するのが良さそう AWSマネジメントコンソールとAWS CLIで東京リージョンとバージニアリージョンにて
OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局。 – o6asan's soliloquy-part2
今回の騒ぎで “Qualys SSL Labs – Projects / SSL Server Test” をやったとき,テスト結果に赤やらオレンジやらが乱舞していた (^_^;)。 ||赤いの|| Trusted : No NOT TRUSTED <<---- これは,自前認証局を使っているせいなので,自信をもって無視する(笑)。 IE 6 / XP No FS 1 No SNI 2 : Protocol or cipher suite mismatch : Fail3 <<---- うちの SSL サーバのユーザは私だけで,私は IE 6 / XP なんぞ使わないので,これも無視。 Fail3 “Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.”
フランスの認証局Certignaが正規の証明書を生成するために必要な秘密鍵を、Web上に公開していて誰でもダウンロードすることが可能な状況にあったようです。 秘密鍵はすでにダウンロードされている可能性があるそうですが、Certignaによると、この秘密鍵はテスト証明書用なので、新たな正規の証明書は発行できないとのこと。本当の秘密鍵はHSM(Hardware Security Module)内にあるので、”決して取られることはない”んだそうですよ。 Certigna publishes SSL private key by mistake | thinq_
HashiCorpのVaultを使用します。OSSです。 Vault by HashiCorpVault secures, stores, and tightly controls access to tokens, passwords, certificates, API keys, and other secrets in modern computing.Vault by HashiCorp独自認証局の構築方法はこちらです。 Build Your Own Certificate Authority (CA) | Vault - HashiCorp LearnDemonstrate the use of PKI secrets engine as an Intermediate-Only certificateauthority which potentially allows for
アプリケーション認証局2
アプリケーション認証局2は、令和元年6月27日(木)をもって認証業務を終了し、認証局を廃止しました。 アプリケーション認証局2のアーカイブデータ等は、政府共用認証局において保管します。 アーカイブデータ等の開示は、行政文書の開示手続きによるものとします。 政府認証基盤におけるアプリケーション認証局2の廃局について (PDF) 平成31年3月28日 行政情報システム関係課長連絡会議了承
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル
独自認証局で発行したデバイス証明書を使ってAzure IoT Hubに接続する
無料の SSL 認証局 - cooldaemonの備忘録
サーバ構築/OpenSSLで作る認証局 - Ten Forward
easy-rsaでプライベートCA(認証局)を作ってオレオレ証明書ではないローカル用TLS証明書の管理をする
Dockerのコンテナでオレオレ認証局を立ててサーバー証明書に署名する - Qiita
Horizon Viewで、AD証明書認証局から証明書をもらう方法
Windows Serverの認証局でSAN属性を持たせたマルチドメイン証明書を認証する - Qiita
Centos 7 でCAによるローカル認証局(オレオレ認証局) | ペタテック株式会社
オレオレ認証局でのクライアント証明書の作り方(sha256) | グローディア株式会社
認証局は本当に信頼できるのか?偽のGoogle証明書 (Scan) - Yahoo!ニュース
Let's Encryptのルート認証局移行についてちょっと調べてみた - Qiita
特定の認証局で発行された証明書の一覧を取得する(crt.shの使い方) - zkat’s diary
スマートホームの標準規格「Matter」が始動、デジサートのルート認証局を承認
グローバルサイン、プライベート認証局にパブリックの信頼を付与するサービス
独自認証局で発行したデバイス証明書を使ってAWS IoT Coreに接続する
自分で発行した認証局証明書をブラウザに登録する方法
JDK 同梱の認証局証明書管理ファイル「cacerts」を見てみる - Corredor
Chromeで認証局「Entrust」を信頼しないと決定、有効期限後は警告表示
総務省|総務省の認証基盤(総務省認証局・総務省運用支援認証局)
OpenSSL で構築した認証局 (CA) でサーバ証明書を発行する方法
無料認証局 CAcert.org 証明書発行 | CentOSサーバー構築マニュアル.com
政府共用認証局自己署名証明書をFirefoxとSafariに追加する。 | 喜屋武孝清 司法書士事務所
認証局スタートパックの公開 | UPKIイニシアティブ - UPKI Initiative
フランスの認証局が秘密鍵を誤って公開 - うさぎ文学日記
デバイス証明書を発行する独自認証局を構築する