タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
1つのサーバーで複数の証明書が使える、SNIって?|SSL基礎知識|Zenlogic - 株式会社IDCフロンティアのレンタルサーバー
サーバーとSSLサーバー証明書の関係 従来のSSLの仕組みでは、1つのサーバーに複数のドメイン名を設定できても、SSLサーバー証明書は1つしか設定できませんでした。 そのため、複数のサイトを1台のサーバーで運営していた場合、フォームやアンケートなどのSSL化されたコンテンツに移動すると、SSLサーバー証明書で設定しているドメイン名(URL)に変わってしまうことがありました。 なぜこのようなことが起こるのか。 原因は従来のSSL通信技術とそれを受け取るサーバーの仕組みにあります。 従来のSSL通信は、はじめにサーバー(IPアドレス)に設定されたSSLサーバー証明書に対して通信経路を確立させ、その中でデータをやり取りしているため、SSLサーバ証明書は設定された1つしか利用すること出来ないのです。 しかしこれでは、先のとおりSSL化されたコンテンツに移動するたびドメイン名(URL)が変わってしま
SNI と SANs , CN(Common Name) の違いSNI は TLS ネゴシエーションの中の最初のパケット ClientHello の中に含まれる extension (拡張属性) です。これは主に、1台のサーバ内に複数のドメインを持つ https サーバに対し、クライアントが「どの URL のサイトへ https アクセスしようとしているか」を提示し、適切なサーバ証明書を引き出すために TLS 規格に追加された属性です。 もともとの目的は上記の通りですが、最近では Web フィルタプロキシや UTM などではこの SNI により宛先の URL を認知し、その URL が危険なサイトではないかどうかを検査しています。なのでセキュリティ上でとても重要な役割を担っています。(昔はデジタル証明書のコモンネームや SANs を検査する方式だった。) 一方、SANs は 1 つの証明書
Unix philosophy your way to finding the real host behind the CDN. Travis dropped Tue, Sep 10, 2019 CURRYFINGER measures a vanilla request for a particular URL against requests directed to specific IP addresses with forced TLS SNI and HTTP Host headers. The tool takes a string edit distance, and emits matches according to a rough similarity metric threshold. There are many guides that explain the p
通信先ドメイン名を暗号化!「Encrypted SNI」とは? 先日、「中国のグレートファイアウォールが更新され、Encrypted SNIを利用した通信がブロックされていることが判明した」という調査結果が発表されました。今回は通信先のドメイン名を秘匿できる「Encrypted SNI」についてご紹介します。 Encrypted SNI(Server Name Indication)とは? まずSNI SSLとは、1つのIPアドレスに対して1つのドメイン名しか利用できなかったSSLサーバー証明書(以下、SSL証明書)を、通信先のドメイン名を定義することで1つのIPアドレスで複数のドメイン名にSSL証明書を利用できるようにした仕組みです。 例えば、さくらのレンタルサーバでは1つのIPアドレスを多くのユーザーで共有していますが、SNI SSLを利用することによってユーザー単位でSSL証明書を利
【アップデート】暖機不要で固定IPの Network Load Balancer ( NLB ) がSNIで複数の証明書をサポートしました | DevelopersIO
大栗です。 Network Load Balancer(NLB)でSNIをサポートして、複数の証明書を設定できるようになりました。 Elastic Load Balancing: Network Load Balancers now support multiple TLS certificates using Server Name Indication (SNI) SNI(Server Name Indication)とは SNI(Server Name Indication)とはRFC 6066に記述されている仕様です。「Server Name Indication」つまりサーバ名表示のことです。SNI以前の仕様ではIPアドレス/ポートに対して一つのSSL/TLS証明書しか設定が行なえませんでした。SNIによりサーバ名ごとにSSL/TLS証明書を設定できるようになり、リクエストから証
[AWS IoT Core] CA証明書をSNI_ONLYモードで登録してみました | DevelopersIO
1 はじめに CX事業本部 デリバリー部の平内(SIN)です。 AWS IoT Coreでは、初回接続時に自動的に証明書をプロビジョニングできるJust-in-Time Provisioning (JITP) や Just-in-Time Registration (JITR) が利用可能ですが、この機能を利用するためには、予めCA証明書の登録必要です。 これまで、CA証明書の登録には、「検証証明書」が必要でした。 「検証証明書」は、CAの所有を証明するもので、作成のためにCAの秘密鍵が必要になります。 しかし、開発者とCA管理者が同一でない場合、秘密鍵を使用する作業は、ちょっと困難な場合があったと思います。 今回、「検証証明書」なしで、CA証明書を登録できる手段が提供されました。 AWS IoT Core が、異なる AWS アカウントへの IoT デバイスのプロビジョニングと認証局の登
![[AWS IoT Core] CA証明書をSNI_ONLYモードで登録してみました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d9fdf277e5e3da9b9ad5eb3751b2220bf7849aa7/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-iot-core.png)
NGNが登場して10年以上がたちますが、NGNへのサーバ接続であるSNI(application Server-Network Interface)は、CDN事業者から見ると、その単価が一般Internet配信接続の100倍以上の値付けとなっており、非常に使いにくい(実際には高すぎて使えない)ものになっています。今回はこの裏にある構造的・根本的な原因について、まとめてみたいと思います(SNIが高すぎるのは、単純にNTTが高コスト体質云々という話でないです)。 Internetのコスト負担 一昔前にネットワークインフラのただ乗り議論がありました。その後どうなったかというと、ただ乗りが当たり前になり、現状ではInternetの配信側と受信側のコスト負担は1:100以上になっています。 一つの例として、CDNの国内市場規模はだいたい数百億円、それに対し光回線・モバイル回線・ISP事業等を含めた国
課題 https通信を行う際、サーバー側の設定によってSNI(Wikipedia参照)を有効にすべき場合と、逆にSNIを無効すべき場合とがある。 これが原因で接続に失敗した場合は以下の例外が発生する。 Java7以降ではデフォルトで有効に設定されていて、JVMの起動オプションに「-Djsse.enableSNIExtension=false」を指定することで無効化できる。(参考記事) ただし、この方法ではシステム全体を有効・無効のどちらかに設定するため、接続先によって有効・無効を切り替えたい場合にうまくいかない。 なお、1.8.0_141未満のバージョンではconnection.setHostnameVerifierを呼び出すことで副次的にSNIを無効化できたが、1.8.0_141でこの挙動は修正され常に起動オプションに従うようになった。 解決策 起動オプションではSNIを有効にした状態で
暗号化されたSNIとは?| ESNIの仕組み
暗号化されたSNI(ESNI)とは? 暗号化されたServer Name Indication(サーバー名表示)(ESNI)は、ユーザーの閲覧データをプライベートに保つために不可欠な機能です。これは、スヌーピングする第三者がTLSハンドシェイク プロセスを覗き見て、ユーザーが訪問しているWebサイトを特定できないようにします。ESNI は名前通り、TLSハンドシェイクのServer Name Indication(SNI)、つまりサーバー名を表示する部分を暗号化することでこれを実現します。 SNI は、クライアントとサーバー間の接続の開始時にTLS証明書を表示するようにWebサーバーに指示します。SNIはTLSプロトコルに追加され、サーバーが同じIPアドレスで複数のTLS証明書をホストできるようにします。 SNIは、郵送先住所にあるアパートの部屋番号のようなものだと考えてください。1軒の建
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【図解】TLSのSNIの仕組み ~SANsやCN,ワイルドカードとの違い~
CURRYFINGER - SNI & Host header spoofing utility - DUALUSE
通信先ドメイン名を暗号化!「Encrypted SNI」とは? | さくらのSSL
![[提案]テーブル名はもう全部単数形にしようや](https://cdn-ak-scissors.b.st-hatena.com/image/square/488202253b2a767aee88b454177ed40b86f0fa47/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--WIyVziu_--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E6%25258F%252590%2525E6%2525A1%252588%25255D%2525E3%252583%252586%2525E3%252583%2525BC%2525E3%252583%252596%2525E3%252583%2525AB%2525E5%252590%25258D%2525E3%252581%2525AF%2525E3%252582%252582%2525E3%252581%252586%2525E5%252585%2525A8%2525E9%252583%2525A8%2525E5%25258D%252598%2525E6%252595%2525B0%2525E5%2525BD%2525A2%2525E3%252581%2525AB%2525E3%252581%252597%2525E3%252582%252588%2525E3%252581%252586%2525E3%252582%252584%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ASakura%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2hNbkZBUW9tSkF0bktaeXZVMmRKN3NPTUU4ZE1QbjB0cTNiMkx1bHc9czk2LWM%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
![[JAWS ミート 2024] 『踏み台の運用が変わる? VPC 上で起動できるようになった CloudShell を語る』というタイトルで登壇しました。#jawsmt #jawsug | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a50dc657e62d539844aa0bec93ecb11ab8b2988a/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-f890958eb561d5bd7db7da1a250388ae%2F991bed17eecdc11214e20f27978b5553%2Fjaws-ug-logo-1200x630.png){kind=logo}
なぜNGNのSNIは使えないのか? | www.kosho.org
JavaでSNIの有効・無効を通信ごとに切り替える - Qiita
hajimete-sangokushi.com
m308.net
gamebiz.jp
datsuaikokukarutonosusume2.blog.jp
narnia-daddy.com
www.youtube.com