署名と証明書の有効期限 - Qiita
はじめに 問:署名証明書の有効期限切れ=署名の有効期限切れ…なのか? PKI(公開鍵基盤)ベースのX.509電子証明書(以後、証明書)を使ったデジタル署名の電子署名方式には有効期限があるのでしょうか?署名に使った証明書の有効期限が切れてしまった場合に、その署名は無効になるのでしょうか? 答:署名証明書の有効期限切れ=署名の有効期限切れ…とは限らない。 デジタル署名の検証結果は「有効/VALID」と「無効/INVALID」の2種類と思われがちですが、実はその間に「不明/INDETERMINATE」と言う状態があります。不明状態とは検証に必要となる検証情報が不足している状態です。過去に「電⼦署名検証を10分で説明してみる」でも説明していますのでお時間があればご覧ください。 さて検証に必要な情報には大きく分けると「認証パスの証明書群 以後、認証パス」「各証明書の検証情報(CRL/OCSP等) 以
Personium | Open Source PDS
相互につながるオープンソースのPDS (Personal Data Store) server で保護されたDataAPIのWorld Wide Webという未来を描く Personal Data Store Personiumは、様々な端末の様々なアプリからデータを読み書きできる分散PDSサーバです。電子カルテからゲームまで、様々なアプリデータをホストできるBaaSとしての実力に裏打ちされた柔軟性をもっています。Personiumは遠大な理念・ビジョンを持ちながらも、豊富な実績をもったソフトウェアです。 Interconnectable 相互接続されたデータストア間のセキュアなデータ共有制御により、多数の企業や個人が絡む社会を支えるICTを構築可能です。介護士が記録した体温・血圧情報を医師が参照してより高度な診療に活かしたり、学校の先生が記録した算数の苦手ポイントを家庭教師が指導計画に活
Amazon Web Services (AWS)サービスの正式名称・略称・読み方まとめ #1 (コンピューティング) - Qiita
各サービスのドキュメントタイトルを正式名称とみなしています。 例 Amazon Elastic Compute Cloud Documentation https://docs.aws.amazon.com/ec2/?id=docs_gateway ドキュメントで() 括りとなっているものを略称とみなしています。 例 Amazon Elastic Compute Cloud Documentation https://docs.aws.amazon.com/ec2/?id=docs_gateway Amazon Elastic Compute Cloud (Amazon EC2) is a web service that provides resizeable computing capacity—literally, servers in Amazon's data centers—t
RHEL7/CentOS7 で最新版 clamav のオンアクセススキャン機能を利用する手順について
先月 clamav パッケージが 0.102 にバージョンアップした際に、 RHEL 7 / CentOS 7 で提供されている curl のバージョンが古すぎることが原因で、 RHEL 7 / CentOS 7 向けの clamav におけるオンアクセススキャン機能が「突然」使えなくなってしまいました。 オンアクセススキャン機能を必要としている人は、業務で使っている人が多いと思うので、今すぐ RHEL 8 / CentOS 8 に乗り換えるという選択肢は難しいと思います。なので、既存環境への影響を最小限に抑えながら、 RHEL 7 / CentOS 7 環境でもオンアクセススキャン機能を使えるようにするための手順を作りました。 (1) ビルドに必要なパッケージを開発環境にインストールします。 # yum -y install gcc rpm-build yum-utils wget ep
NTT 東日本 - IPA 「シン・テレワークシステム」 - FAQ (よくある質問と回答) トップ | 中間報告 | 自治体テレワーク for LGWAN | HTML5 Web 版クライアント (Mac, Chromebook 対応) | バージョン履歴 | ダウンロード | ユーザー数グラフ 入門 - 今すぐ使ってみよう | クライアント検疫機能・MAC アドレス認証機能 | 二要素認証・ワンタイムパスワード (OTP) 機能 | マイナンバーカードを用いたユーザー認証機能 | 仮想マルチディスプレイ機能 行政情報システムでの利用 | 組織 LAN におけるポリシー規制サーバー設置 | 企業システムにおける VM・HDD クローン対応 | Wake on LAN リモート電源 ON 機能 | 画面撮影・キャプチャ防止のための電子透かし機能 FAQ | 掲示板 (ユーザーサポートフォ
S/MIME に対する誤った認識 | おるとのページ
S/MIME に対する誤った認識2023/08/09 — Security, trust, email — 15 min read Facebook で「S/MIME 推進協議会」なるものが発足し,キックオフセミナーが開催されるとの投稿を目にしました.「S/MIME 推進協議会」の Web サイトを覗いてみたところ,S/MIME やそもそも暗号技術に対する誤った認識を元に作成したと思われる文章があったので,少し検証してみたいと思います. 本投稿の目的は,多すぎる問題点について明確化しキックオフセミナーでの質問ないしパネルディスカッションとして取り上げていただき協議会の皆さんの認識を確認すること,及びこのような誤った認識が一般に広まることを抑止することです.協議会や S/MIME に対する否定の目的はありません. Web サイト全体にわたって不自然に思う表現や認識は多々ありますが,本投稿では
こんにちは。ソリューションアーキテクトの渡邊です。 IoTでTLSを使った通信を行う場合によく「運用が大変」と言われます。デジサート・ジャパンのレポート「2021年 PKI自動化に関する現状調査」によると、標準的な企業では現在、50,000 以上の証明書を管理しているとのことです。通信をセキュアにしたいだけなのに、どうしてこのような運用の手間が増えてしまうのでしょうか。 IoTの「つなぐ」を簡単にするサービスを提供している SORACOM では、IoT向けの通信をより簡単にセキュアにするためのアプリケーションサービスも提供しています。 そこで本ブログでは、IoT機器でTLS通信を行う際に求められる「運用の手間」を明らかにし、SORACOM のアプリケーションサービスを使った場合の「簡単さ」について改めてご紹介できればと思います。 なお、TLS通信のそもそもの仕組みや手順については、本ブログ
Introducing API Shield
This post is also available in 简体中文, 繁體中文, 日本語, 한국어, Deutsch, Français, Español, Português and Italiano. APIs are the lifeblood of modern Internet-connected applications. Every millisecond they carry requests from mobile applications—place this food delivery order, “like” this picture—and directions to IoT devices—unlock the car door, start the wash cycle, my human just finished a 5k run—among cou
Private Network Access update: Introducing a deprecation trial | Blog | Chrome for Developers
Updates March 23, 2023: The timeline has been updated, and deprecation will not occur until Chrome 117. January 19, 2023: The timeline has been updated, and deprecation will not occur until Chrome 114. August 12, 2022: The timeline has been updated, and deprecation will not occur until Chrome 109. February 10, 2022: An updated article is published at Private Network Access: introducing preflights
Application Load Balancer でmTLSを使ってTLSクライアント認証をやってみた トラストストア検証編 #AWSreInvent | DevelopersIO
Application Load Balancer でmTLSを使ってTLSクライアント認証をやってみた トラストストア検証編 #AWSreInvent ロードバランサー側でクライアント証明書の検証をしたい こんにちは、のんピ(@non____97)です。 皆さんはロードバランサー側でクライアント証明書の検証をしたいなと思ったことはありますか? 私はあります。 re:Invent 2023期間中のアップデートでALBがmTLSをサポートしました。これによりクライアント認証が簡単に行えるようになります。 早速DevelopersIOでも記事が挙がっていますね。 上述の記事ではパススルー構成を試しています。パススルー構成はALBのバックエンド側でクライアント証明書を検証するパターンです。 個人的にはできれば、面倒なクライアント証明書の検証はALBにオフロードしたいところです。 そんな願いを叶え
AWS Client VPN の日本語対応の初心者向け Workshop をやってみた | DevelopersIO
はじめに AWS Client VPN 初心者が、Client VPNを理解するためWorkshop をやってみましたので、ご紹介します。 Client VPNについて理解したい場合は、下記のブログがわかりやすいです。 下記の記事は、Client VPNで作成する証明書について理解できます。 ハンズオンで理解できること 今回のハンズオン内容は、以下の通りです。 リモート環境から、AWS Client VPN 接続を使って、VPC内へのリソースへアクセスする方法 認証に相互認証 (証明書ベース)を利用する方法 認証に Active Directory 認証 (ユーザーベース)を利用する方法 認証には、SAML認証もできますが、今回のハンズオンの対象外となります。 作成する構成 このハンズオンで作成する構成は、以下の2つです。 パターン1 : 相互認証(証明書ベース)を利用した、シンプルなVP
Windows 10で自己署名証明書を作成する方法
IISで自己署名証明書を作成するIISで自己署名証明書を作成する手順は、次のとおりです。 まず「インターネット インフォーメーション サービス(IIS)マネージャー」を起動し、画面中央のIIS欄にある「サーバー証明書」をダブルクリックします。 「サーバー証明書」画面が表示されるので、画面右側のメニューから「自己署名入り証明書の作成」をクリックします。 「フレンドリ名を指定します」画面が表示されるので、フレンドリ名に任意のわかりやすい名前を入力して「OK」をクリックします。 「サーバー証明書」画面に戻ると、一覧に作成した自己署名入り証明書が表示されています。 なお、IISマネージャー画面で作成した自己署名証明書の有効期限は1年です。 PowerShellで自己署名証明書を作成する自己署名証明書は、PowerShellコマンドレット「New-SelfSignedCertificate」で作成す
インターネット技術を学ぶうえで情報セキュリティを正しく理解することは不可欠ですが、ITにおけるネットワークの重要性が増し利用方法が多岐になるにつれて、技術者なら誰もが知っているべきセキュリティ技術の範囲はどんどん広がっています。 本書は、日々更新されていくネットワークセキュリティ技術にキャッチアップしていくために必要となる基礎を体系的に網羅した「マスタリングTCP/IPシリーズ」の1冊です。基本的な暗号技術、それらのセキュリティプロトコルへの応用、認証技術、Webアプリケーションへの多様化する攻撃手法の理解と対策などを扱っています。 第1版発行から10年弱が経過し、技術は進歩しセキュリティに対するニーズも高まっています。こういった背景を踏まえて、第2版では目次構成の見直しを行い、大幅な加筆修正を行っています。 第2版序文 序文 目次 第1章 情報セキュリティ概論 1.1 情報セキュリティと
先般、情報システム学会から『「マイナンバー制度の問題点 と解決策」に関する提言』(以下、提言とよびます)が公表された。ちょっと違うんじゃないかなと思うところがいくつかあったのでまとめてみた。 同意する点も多々あるが、短くまとめるために(それでも十分長いが)指摘点だけ書いている。結果、なんだか文句だけつけてるみたいなエントリーになってしまったが、学会 vs 個人ということで、悪しからずご了承願いたい。 マイナンバーカード保険証問題は名寄せ問題ではない詳しいことは先のエントリー(これとか、これ)で書いたので省略するけれど、話題になったマイナンバーカードの保険証利用で他人に紐づいてしまっていた件は、マイナンバー収集方法の問題であり、名寄せ問題ではない。 実際、「マイナンバー情報総点検本部」でも本件を「マイナンバーの誤紐付け事案」と整理している。 しかし、「提言」では「2.1.1. 誤った名寄せの
2021 年 2 月 2 日 お客様各位 平素は格別のお引き立てを賜り、誠にありがとうございます。 DigiCert 社とサイバートラスト株式会社は、DigiCert ルート認証局に繋がる以下のサイバートラスト中間認証局につきまして、2021 年 5 月をもちまして運用を終了する合意に至りましたことをご案内申し上げます。 2019 年 9 月 29 日以前に当該中間認証局から発行された SureServer、SureServer EV、または SureMail を現在もご利用中のお客様におかれましては、当該証明書をサイバートラストが現在発行しておりますセコムルート下の証明書に差替えいただけますようお願い申し上げます。 失効となる中間認証局 Cybertrust Japan Public CA G3 シリアル番号:Serial Number: 054340d0a2c4cc8111faa837
Blink Shell 14: Legacy
This is the Legacy version of Blink Shell. Download the new free version Blink Shell instead from https://itunes.apple.com/app/id1594898306. Current users are grandfathered to keep receiving updates and new features. We are keeping this version alive to ensure a smooth transition. Thanks for understanding. — We had no choice. We had to build Blink or we were going to jump out the window in frustra
2021年05月16日18:00 【2chの闇】嘘がバレる瞬間を集めた結果がやばすぎたww Tweet 1: 風吹けば名無し 2021/05/16(日) 13:41:38.20 ID:vY0qkVqx0 Suicaの残高1万円超えてるやつwwwww 30 風吹けば名無し@\(^o^)/ 2016/05/05(木) 13:08:56.35 ID:hFVKGdvU00505.net 普通に10万くらいは常に入れてるやろ 貧乏人じゃあるまいし 34 風吹けば名無し@\(^o^)/ 2016/05/05(木) 13:10:28.62 ID:WTehKR2fd0505.net >>.30 Suicaの上限は2万なんだよなぁ… 37 風吹けば名無し@\(^o^)/ 2016/05/05(木) 13:11:01.74 ID:hFVKGdvU00505.net >>.34 すまんな ワイはPASMOなんや
How Cloudflare uses Terraform to manage Cloudflare11/17/2022 Configuration management is far from a solved problem. As organizations scale beyond a handful of administrators, having a secure, auditable, and self-service way of updating system settings becomes invaluable. Managing a Cloudflare account is no different. With dozens of products and hundreds of API endpoints, keeping track of current c
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2020-02-28 12:08 ウェブサイトの多くが、Transport Layer Security(TLS)によって暗号化されていなかったのはそれほど昔のことではないかもしれない。そうしたサイトは、アドレスがHTTPSではなくHTTPで始まっているため、すぐに特定できた。Let's Encryptによると、世界のウェブページの81%が現在HTTPSを使用しており、米国内であればサイトの91%が保護されている。安全に閲覧できるウェブサイトが大きく増加しており、これにはInternet Security Research Group(ISRG)と、そのLet's Encryptプロジェクトも寄与しているだろう。Let's Encryptは米国時間2月27日、証明書の発行数
はじめに 認証局(CA)は、インターネット上のIDをしデジタル証明書の発行をおこなう機関です。パブリックCAは、一般ユーザー向けのWebサイトやその他のサービスのIDを検証するのによく使われる一方、プライベートCAは通常、クローズドグループやプライベートサービスに使用されます。 プライベートCAを構築すると、クライアントとサーバー間の暗号化された接続を必要とするプログラムを設定、テスト、および実行できるようになります。プライベートCAを使用して、インフラストラクチャ内のユーザー、サーバー、または個々のプログラムとサービスの証明書を発行できます。 独自のプライベートCAを使用したLinux上のプログラムの例としては、OpenVPNとPuppetがあります。開発環境とステージング環境をTLSを使用して接続を暗号化する本番サーバーと一致させるために、プライベートCAによって発行された証明書を
関連キーワード Docker | ネットワーク | ネットワーク仮想化 | 仮想化 前回「Kubernetesだけじゃない『コンテナオーケストレーター』 Mesos、Swarmとは?」は、大規模なコンテナ実行環境に必要な機能と、その機能を実行するためにコンテナオーケストレーターが必要になることを解説しました。併せてコンテナオーケストレーターとして「Kubernetes」が広く支持され、デファクトスタンダードになっている現状も紹介しました。 併せて読みたいお薦め記事 コンテナの基本をおさらい いまさら聞けない「コンテナ」「オーケストレーター」の仕組みと役割 仮想マシンとコンテナ 何が違い、どう使い分けるべきか? VMwareが「コンテナ」市場でRed HatとDockerに引き離されている理由 ネットワーク仮想化の話題 「ネットワーク仮想化」と「ネットワーク抽象化」は何が違うのか? 「SDN
製品 製品グループ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel セキュリティ AI Microsoft Copilot for Security ID (アイデンティティ) とアクセス Microsoft Entra ID (Azure Active Directory) Microsoft Entra 外部 ID Microsoft Entra ID ガバナンス Microsoft Entra ID 保護 Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Entra 権限管理 Microsoft Entra 確認済み ID Mic
迷惑メール対策 SPFとDKIM迷惑メール対策は色々なものがあります。その中から最も利用度が高い、SPF(エスピーエフ)とDKIM(ディーキム)について解説します。SPF,DKIMともメールを送信する側が対応するものです。 SPF(Sender Policy Framework)とDKIM(Domainkeys Identified Mail)は、どちらも送信ドメイン認証の仕組みです。IETFによってSPFはRFC4408、DKIMはRFC4871およびRFC5672にて仕様が定められています。 SPFはDNSのSPFレコードを利用し送信ドメインを認証します。SPFに対応しているメール受信サーバーは、メール受信時に送信元ドメインのDNSサーバーからSPFレコードを参照し値を検証します。この検証によりなりすまし等を防ぐことができます。 DKIMは電子署名を利用し送信ドメインを認証します。SP
プロフェッショナルTLS&PKI 改題第2版
紙書籍とPDFをお読みいただけます。PDFのみ必要な方はこちらからPDF単体が購入できます PDFは購入後すぐにダウンロード可能です 紙書籍は通常は注文から2~3営業日で発送(年末年始や大型連休などは1週間から10日程度の配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください) TLSとPKIの実像を理解し、サーバとアプリを安全にする Ivan Ristić 著、齋藤孝道 監訳 488ページ B5判 ISBN:978-4-908686-19-1 電子書籍の形式:PDF 2023年12月4日 第2版第1刷 発行 現代生活を支えるインターネットでは暗号化が不可欠です。しかし実際にサーバやアプリで通信の暗号化を適切に利用するには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルであるTLSとそのWebでの応用、さらには基盤となる信頼モデルであるPKIについての幅広い知識と
TL;DR AWS EC2のCentOS7上にkubeadmでk8s環境を構築 CGROUPの問題でkubeletが正常に稼動していないせいで、はまった /etc/systemd/sytem内のkubelet設定ファイルを削除し、最初からやり直したら成功 イントロ k8s超初心者の自分(dockerは頻繁に使っていて、swarmも使っているが、k8sはminikubeをちょっと試したことがある程度)が、分散環境でしっかりk8sを使っていこうと思い、kubeadmに手を出してみました。 昔から、"実験"やら"演習"やら"構築"やら、そういったことをすると、必ずハマってきた自分です。 今回も、盛大にハマりました。正常運転です。 構築に関してまず参考にしたのが、こちらのQiitaの記事。 qiita.com 環境、OS、docker、kubeletのアプリのバージョンがすべて同じです(なのにハマ
1. はじめに ことの発端は、IBM Cloudの CLIでProxyを設定できるかどうかを検証していた時である。 その記事では、 export https_proxy=http://10.0.0.4:3128 としたが、 export https_proxy=https://10.0.0.4:3128 ではなぜダメなのか?と思った次第。実際、後者のやり方で実行すると、IBM Cloud CLIで実行するとproxyconnect tcp: tls: first record does not look like a TLS handshakeというエラーが出たので、やはり挙動としては違いはあるはずである。そもそも設定上の組み合わせとしては以下の4つがあるはず。Case1はhttpでの指定として自然だし、Case3はhttpへのアクセスにhttpsを利用するという上であり得ない組み合わせの
座談会 「社会からPPAP をなくすには?」Part2 ~PPAP に代わる安全な方式 その1~|情報処理学会・学会誌「情報処理」
小特集「さようなら,意味のない暗号化ZIP添付メール」より 崎村夏彦(NAT コンサルティング) 大泰司章(PPAP 総研) 楠 正憲(国際大学Glocom) 上原哲太郎(立命館大学) 背景はこちらの記事をご参照ください. Part1に続いて. SMTPS の強制 崎村:さて,ではPPAP に代わる安全な方式の議論したいと思います. 上原:相手とのSMTP の経路がSSL 対応になっているのだったら,もうそのまま送ればと思っています.安全という意味では十分安全.いまは通信区間にセキュリティリスクはあまりない.むしろ末端がこわい.マルウェアやフィッシングでID を取られ,メールボックスの中を盗み見られていることのほうが問題.そっちを守ることにエネルギーを使うべき.経路のことはあまり気にしなくていいんじゃないか.崎村:何を守ろうとしているかという部分ですよね.経路の安全性と到達先での安全性と2
セキュリティを重視する大規模な組織は、Microsoft 365 などのクラウド サービスへの移行を望んでいますが、ユーザーが承認済みリソースにしかアクセスできないことを認識しておく必要があります。 従来より、企業ではアクセスを管理するときにドメイン名や IP アドレスを制限しています。 このアプローチは、パブリック クラウドでホストされ、outlook.office.com や login.microsoftonline.com などのドメイン名で実行される、サービスとしてのソフトウェア (SaaS) アプリ の場合はうまくいきません。 これらのアドレスをブロックすると、ユーザーを承認済みの ID やリソースに単に制限するのではなく、ユーザーは Web 上の Outlook にまったくアクセスできなくなります。 この課題を解決する Microsoft Entra ソリューションが、テナン
Microsoft Digital Defense Report 2022 | Microsoft Security
Products Product families Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel Security AI Microsoft Copilot for Security Identity & access Microsoft Entra ID (Azure Active Directory) Microsoft Entra External ID Microsoft Entra ID Governance Microsoft Entra ID Protection Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Ent
PKIプログラマがまとめた電子認証入門です。専門外なので間違いがあるかもしれませんが、自分の理解をまとめたものです。オープンな勉強会用に更新した改定2版となります。Read less
or, “Holy shit, it works!” Last May I left my job on the Go team at Google to experiment with more sustainable paths for open-source maintainers. I held on to my various maintainer hats (Go cryptography, transparency tooling, age, mkcert, yubikey-agent…), iterated on the model since September, and I’m happy to report that I am now a full-time independent open-source maintainer. That means I spend
共産党を「相談相手」にしている民青(日本民主青年同盟)が出している新聞(機関紙)に「民青新聞」がある。その2024年2月12日号を興味深く読んだ。 というのは、「ASEAN(東南アジア諸国連合)は『反共の砦』として出発したのではなかった」という歴史観が明確にそこ(民青新聞同号)に見出されるからである。 同紙は「東アジアを戦争の心配のない地域へ ASEANの努力に学ぶ」という「論文」めいた特集を「上」「下」に分けて掲載している。しかも同じ号に「上」も「下」も掲載する破天荒なやり方をしている。 あとで述べるけども、彼らが「相談相手」にしている共産党の「しんぶん赤旗」でもASEANについてのこんな詳細な記事(特集・論文)は見たことがない。そして、ASEANについて何の知識もない、ぼくのようなシロートにもわかりやすい記事であった(もちろん限界はある)。「しんぶん赤旗」読者であっても、民青新聞読者で
はじめに 背景 以前の「SSHの公開鍵認証における良くある誤解の話」に引き続き、SSHにまつわる誤解に関する話です。 公開鍵暗号とハイブリッド暗号のありふれた説明を聞くと、多くの人が「SSH? 共通鍵を公開鍵暗号で暗号化して渡すのね、オーケーオーケー」と早合点しがちです。しかし実態は全く異なります。 その点を少し具体的に解説します。 TL;DR; SSHもSSL/TLSと類似の、鍵交換・認証(ホスト認証)・暗号化・MACの4要素のハイブリッド暗号 2種類の公開鍵暗号、鍵交換(鍵交換用)、電子署名(ホスト認証用)が連携して使われる 「公開鍵で暗号化」は基本使われない。知識として忘れた方がマシ 注意事項 今回はユーザ認証 ( パスワード認証や公開鍵認証など ) の話は対象外です。 また、SSHと言っても既に過去の存在の SSHv1については対象外です。全て SSHv2 の話です。 なお、動作検
ニトリホールディングスが2025年までに、全従業員の8割にIT国家資格を取得させるという報道がありました。「ITパスポート」の取得によって、従業員のIT能力を底上げさせる狙いがあるようです。これには大きな反響がありました。 個人的には本件にはそれなりに賛成の立場をとっています。しかし恐らくITにあまり詳しくない人にとっては少々気が重い話かもしれません。皆さんも「2年以内に簿記3級を取得してください」といわれたら、拒否反応を示すのではないでしょうか(個人的にはビジネスに携わる上で、簿記の資格は取って損はないと思っていますが)。 この施策はある意味で、従業員全体の「リテラシーを向上させる」という大きな目的を達成するための手段だと筆者は考えています。最近、この「リテラシー」について少々思うところがあったので、今回のコラムで取り上げていきましょう。 リテラシーを高めるだけでは、攻撃から身を守れない
Red Hatの森若です。 今日はRHEL上でコンテナを使うときにちょっと不思議なアレについておはなしします。 Red Hat Universal Base Image 1年とすこし前、Red Hat Universal Base Images (以下UBI) というコンテナイメージが公開されました。 これはRHEL 7および RHEL 8の基本的なコンテナイメージと、さらにRHELの約1/3のrpmパッケージをEULA契約のみで無償で入手でき、さらに自由に利用・再配布できるというものです。 単に入手再配布が簡単というだけでなく、これをベースにアプリケーションのコンテナイメージを作成すると、Red Hatのコンテナ環境上(RHELまたはOpenShift)であればUBI部分もRed Hatからのサポート対象になります。 この仕組みが登場したことで「通常の契約ではRHELは再配布できない」と
Nginx で SSL を設定したときのまとめ。 なお、SSL と TLS の違いなどは本記事では除く。 SSL 通信は共通鍵と公開鍵を組み合わせて開始されるSSL は外部に通信内容が漏れないよう暗号化して通信するためのプロトコルで、基本はクライアントとサーバーで共通鍵暗号を使って通信内容を暗号化している。 ここで使用する共通鍵はもちろんクライアントとサーバーで共通の鍵でなければいけないが、SSL 通信の前に共通鍵を共有すると暗号化されてないために共通鍵が漏れる可能性がある。 そのため、共通鍵自体が漏れないために、SSL 通信の開始時点で共通鍵を受け渡すために公開鍵暗号を使用する。 下記の流れで SSL 通信の開始を行う。 引用: SSL の仕組み | 基礎から学ぶ SSL 入門ガイド | CSP SSL 1.クライアントからサーバーへの SSL 接続要求 2.サーバーからクライアントへ公
Cloud native and open source technologies have modernized how we develop software, and although they have led to unprecedented developer productivity and flexibility, they were not built with enterprise needs in mind. A primary challenge is bridging the gap between cloud native and enterprise reality. Enterprises need a centralized Kubernetes management control plane with logging and monitoring th
Nextcloudの警告を解消する
ふとアップグレードしたついでにセキュリティ&セットアップ警告を確認すると一杯警告が… PHPのメモリ制限は推奨値512MBを下回ります。 え!エラーでアプリ落ちなくなって、今の今まで落ちたことも遅くなったことも無いんだけどなぁ。あれ?php --iniの結果などは無視して、/etc/php/7.3/cli/php.iniではなく/etc/php/7.4/apache2/php.iniの方を修正したら消えた。 メモリキャッシュが設定されていません。 メモリキャッシュが設定されていません。可能であれば、パフォーマンスを向上するため、memcacheを設定してください。より詳しい情報はドキュメントで参照できます。 Memory cachingを参照に設定する。 memcachedインストール sudo apt install memcached sudo apt install php7.4-m
地方公共団体や中央省庁などが利活用する「LGWAN(Local Government Wide Area Network)」。その定義や仕組み、活用メリットは一体どのようなものなのでしょうか。この記事では、こうしたLGWANの全体像に加え、同ネットワークで提供されるASPサービスにも言及。行政機関の職員などを対象に分かりやすく解説していきます。 LGWAN(総合行政ネットワーク)とは LGWAN(総合行政ネットワーク)とは、地方公共団体の組織内ネットワーク(庁内LAN)を相互につなぐ行政専用の広域ネットワークです。インターネットから切り離された閉鎖的なネットワークで、「J-LIS(地方公共団体情報システム機構)」によって運営されています。 LGWANは、スムーズな情報共有や高度な情報活用などを目的に整備され、2001年度から都道府県、2003年度から全市区町村が接続し、本格的な運用が始まり
CAS のご紹介: プライベート CA と証明書でアプリケーションを保護 | Google Cloud 公式ブログ
※この投稿は米国時間 2020 年 8 月 4 日に、Google Cloud blog に投稿されたものの抄訳です。 デジタル証明書は、さまざまなネットワーク接続デバイスやサービスの ID と認証の基盤となります。最近では DevOps やデバイス管理(特に IoT デバイス)において公開鍵基盤(PKI)を利用することへの関心が高まっています。しかし、PKI の最も根本的な問題の一つとして、認証局(CA)のセットアップが難しく、セットアップを大規模かつ信頼できる形で行うことはさらに困難です。この課題に対処するため、Google Cloud の Certificate Authority Service(CAS)をベータ版で提供することを発表いたします。CAS は、プライベート CA の管理とデプロイを簡素化 / 自動化し、かつ最近のデベロッパーとアプリケーションのニーズに対応した、スケー
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NTT 東日本 - IPA 「シン・テレワークシステム」 - FAQ (よくある質問と回答)
IoT機器のTLS通信で立ちはだかる証明書の運用 - SORACOM公式ブログ
マスタリングTCP/IP 情報セキュリティ編(第2版) | Ohmsha
情報システム学会の『「マイナンバー制度の問題点と解決策」に関する提言 』で気になるところ|ヨシモトアキヒラ
DigiCert ルート認証局下のサイバートラスト中間認証局の終了に関するご案内
【2chの闇】嘘がバレる瞬間を集めた結果がやばすぎたww : 哲学ニュースnwk
How Cloudflare uses Terraform to manage Cloudflare
Let's Encrypt、証明書の発行数が10億件に到達
Ubuntu 20.04で認証局(CA)をセットアップおよび設定する方法 | DigitalOcean
「Kubernetesクラスタ」の自前構築はなぜ難しい? Kubernetes運用の基礎知識
Microsoft Entra のプランと価格 | Microsoft Security
Postfix 迷惑メール判定されないDKIM設定(複数ドメイン)Rocky ,Alma, CentOS
kubeadmをセットアップしてみたが、いつも通りハマる - nkty blog
https_proxy=httpとhttps_proxy=httpsは何が違うのか? - Qiita
テナント制限を使用して SaaS アプリへのアクセスを管理する - Microsoft Entra ID
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
I’m Now a Full-Time Professional Open Source Maintainer
ASEANは「反共の砦」だったか? 民青新聞を読んで - 紙屋研究所
SSHのハイブリッド暗号に関する良くある誤解の話 - Qiita
「リテラシーを向上させる」といってセキュリティ対策をサボるの、もうやめませんか?
RHEL上のUBIから、RHELのリポジトリを利用できる仕組み - 赤帽エンジニアブログ
NginxでSSLを設定する方法を基本から学ぶ - Kattsu Sandbox
Kubernetes RBAC 101: Overview - Kublr
「LGWAN(総合行政ネットワーク)」とは?自治体が活用できるASPサービスについて