並び順

ブックマーク数

期間指定

  • から
  • まで

121 - 160 件 / 346件

新着順 人気順

SSLの検索結果121 - 160 件 / 346件

  • TLS 1.3 学習ノート

    はじめに これは筆者が TLS 1.3 を学習した時のメモを記事にしたものです。 内容の正確性は担保できませんので、あらかじめご了承ください。 参考にした書籍 プロフェッショナルSSL/TLS (ISBN: 978-4-908686-00-9) ラムダノートでを購入するとダウンロードできる特別版PDFも参照しています 徹底解剖 TLS 1.3 (ISBN: 978-4-7981-7141-8) 参考にしたウェブサイト うるふブログ | wolfSSL Wikipedia IT用語辞典 e-Words TLS とは? TLS は Transport Layer Security の略で、インターネット上で安全に通信を行うためのプロトコルです。 インターネット上で安全に通信を行う必要性 前提として、インターネットはセキュリティが考慮されていません。 もともとインターネットは、大学間で少数のノー

      TLS 1.3 学習ノート
    • CVE-2022-21449: Psychic Signatures in Java

      The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.

        CVE-2022-21449: Psychic Signatures in Java
      • 【Bun】BunとNode.jsの違いのメモ - UGA Boxxx

        以前、Bunについてざっくり調べたことがある uga-box.hatenablog.com この時からBunについて、特にNode.jsとの違いについて、知る機会があったのでメモ (2022/9/5 追記)ソース元はfurukawaさんがNode学園40限目で話された内容 speakerdeck.com Node.jsの構成要素の一部 Standard Libraries HTTP、File systemとか n-api C++とかCを呼び出すネイティブモジュールの抽象化ライブラリ V8 JavaScript エンジン http-parser HTTP1.1用のパーサー OpenSSL HTTPSとかTLSとかの暗号化周りのライブラリ zlib 圧縮とか解凍とか ng-http2 HTTP2用のライブラリ ng-tcp QUIC用のライブラリ libuv OSによって異なるシステムコールの

          【Bun】BunとNode.jsの違いのメモ - UGA Boxxx
        • Android 7.1以前の古いOSでのご利用に関するお知らせと、Androidアプリのサポート対象バージョン変更のお知らせ(追記あり) - はてなブログ開発ブログ

          2021/01/04 追記 SSL/TLS証明書の認証局*1による対応が大幅に延期されたことを受け、2021年1月11日に予定しておりましたサポート対象バージョン変更を取り止めさせていただきます。 ただし今後も不定期でサポート対象バージョン変更を行う予定ですので、可能な限り新しいOSバージョンでのご利用をおすすめします。 2020/09/28 追記 SSL/TLS証明書の認証局*2の変更が、2021年1月11日に延期されたため、サポート対象バージョンの変更の実施も、2021年1月11日に延期いたします。 元記事 いつもはてなブログをご利用いただきありがとうございます。 はてなブログで利用しているSSL/TLS証明書の認証局*3の変更が 2020年9月30日に行われる予定です。その結果、Android 7.1以前などの古いOSをお使いの場合に、HTTPS配信を利用しているはてなブログやダッシ

            Android 7.1以前の古いOSでのご利用に関するお知らせと、Androidアプリのサポート対象バージョン変更のお知らせ(追記あり) - はてなブログ開発ブログ
          • 無料SSL証明書の「Let’s Encrypt」がDDoS攻撃を受けてパフォーマンスが一時低下

            無料&オープンな証明書認証局Let's EncryptがDDoS攻撃を受け、約4時間半にわたってサービスのパフォーマンスが低下しました。 Title: Let's Encrypt's performance is currently degraded due to a DDoS attack ????: I know it is a big thing to complain about but why does the whole DNS lookup system require an invalid certificate? Because it seems too easy to get a certificate from a DNS provider that has…— hncynic bot (@hncynic) March 7, 2021 Let's Encrypt's

              無料SSL証明書の「Let’s Encrypt」がDDoS攻撃を受けてパフォーマンスが一時低下
            • Telnetコマンドの替わりにOpenSSLを使う方法

              昔のネットワークには欠かせなかったTelnet かつてのネットワーク管理者、HTTPSやSSHが広く普及する前のネットワークでは、Telnetコマンドはなくてはならないコマンドだった。Telnetコマンドは、ネットワークを経由してリモートからホストにログインする方法として使われていた。現在のsshで行うような役割をTelnetは担っていたわけだ。 また、Telnetはリモートログインという用途のみならず、さまざまなサーバに接続して状況を調べるコマンドとしても使われていた。Telnetコマンドを使うと、ホストの任意のサービスに接続してインタラクティブに会話を行うことができる。当然、操作するには対象サービスのプロトコルを手動で入力する必要があるが、トラブルシューティングを行うにはうってつけのツールだった。多少の工夫をすれば、Telnetコマンド経由で対話処理を自動化することもできる。 Teln

                Telnetコマンドの替わりにOpenSSLを使う方法
              • ダウンローダーGNU Wgetの後継となる「GNU Wget2 2.0」が公開 | OSDN Magazine

                GNU Wgetの後継となる「GNU Wget2」の開発チームは9月26日、最新版となる「GNU Wget2 2.0」を公開した。 GNU Wget2はWebサーバーからコンテンツを取得するダウンローダーGNU Wgetの後継で、HTTP、HTTPS、FTP、FTPSを使ってファイルの取得を行う。libwgetを使ってラッピングするようスクラッチから設計し、マルチスレッド対応などの機能を加えた。HTTP2、HTTP圧縮、並列接続、If-Modified-Sinceヘッダ(HTTP)などにより、多くの場合でWget1系よりも高速にダウンロードできるという。ライセンスはGPL v3以上。 バージョン2では、HTTP2アップロードのサポートが加わった。HTML5 ‘download’属性が使用できる–download-attrオプションをサポートしたほか、HTMLダウンロード属性もサポートした。

                  ダウンローダーGNU Wgetの後継となる「GNU Wget2 2.0」が公開 | OSDN Magazine
                • 「RFC7525: TLSを安全に使うための推奨事項」の改定 - ASnoKaze blog

                  様々な組織や団体がTLSを安全に利用するためのドキュメントを出してたりする。 IETFでも2015年にRFC7525 「Recommendations for Secure Use of TLS and DTLS」として、使用する上での推奨事項をまとめている。 それについての詳細は、urushima先生の記事を見ていただくと良いと思う。 blog.livedoor.jp 上記のRFC7525から5年が経ち、その間にRFC 8446 TLS1.3の発行などもありました。そのため、IETFではこのRFC7525の改定作業が開始されました RFC7525bis IETFのUTA (Using TLS in Applications) WGでは、RFC7525の改訂版として、次のドキュメントをすでにWG Itemとして扱っている draft-ietf-uta-rfc7525bis ここでは、簡単に

                    「RFC7525: TLSを安全に使うための推奨事項」の改定 - ASnoKaze blog
                  • 9月末でLet's Encryptルート証明書が期限切れ、古い製品は要注意

                    人気の高いSSL証明書認証局であるLet's Encryptが使っているルート証明書の有効期限が近づいている。「IdentTrust DST Root CA X3」で認識されるこのルート証明書の有効期限は2021年9月30日、つまり今月いっぱいまでだ。古いルート証明書から新しいルート証明書への移行は完全に透過的だが、実際には過去に問題が発生している。特に古いソフトウェアを使っている場合は注意が必要だ。 IdentTrust DST Root CA X3 セキュリティ研究者であるScott Helme氏は9月21日(英国時間)、「Let's Encrypt's Root Certificate is expiring!」において、今月末でLet's Encryptが使用しているルート証明書が有効期限を迎えることを指摘するとともに、過去の事例などを引き合いにしてどのような問題発生が懸念されるか

                      9月末でLet's Encryptルート証明書が期限切れ、古い製品は要注意
                    • 「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正

                        「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正 
                      • Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧

                        Microsoftは8月1日(米国時間)、「TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub」において、2023年9月にビルドを開始する「Windows 11 Insider Preview」において「TLS 1.0」および「TLS 1.1」をデフォルトで無効化すると伝えた。これは近い将来のWindows 11でTLS 1.0およびTLS 1.1がデフォルトで無効化されることを意味している。 TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub TLS (Transport Layer Security) 1.0は1999年に発表、TLS 1.1は2006年に発表された通信プロトコル。暗号

                          Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧
                        • 「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を/不正なCA証明書を受け入れてしまう可能性

                            「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を/不正なCA証明書を受け入れてしまう可能性
                          • サーバー証明書の有効期間がわずか45日、Apple提案に管理者からは悲鳴と怒声

                            安全なWeb通信を実現するには、「サーバー証明書」を用意してTLSと呼ばれるプロトコル(通信規約)に対応することが不可欠だ。TLSに対応することでWebサーバーの正当性を検証できるようになり、WebサーバーとWebブラウザー間の通信が暗号化される。サーバー証明書は、TLS証明書や電子証明書などとも呼ばれる。 一般的な証明書の類いと同様に、サーバー証明書には有効期間がある。有効期間を過ぎるとサーバー証明書は無効になり、Webブラウザーには警告が表示される。このため有効期間内にサーバー証明書を更新する必要がある。 現在、サーバー証明書を発行する認証局(CA:Certificate Authority)やWebブラウザーベンダーで組織される業界団体「CA/Browser Forum」のガイドラインでは、有効期間は最長で398日とされている。 だがWebブラウザーベンダーの1社である米Apple(

                              サーバー証明書の有効期間がわずか45日、Apple提案に管理者からは悲鳴と怒声
                            • Cloud Storageを使ったカスタムドメインでHTTPSのSPA環境を構築する #gcp | DevelopersIO

                              はじめに こんにちは、中村です。Cloud Storageを使ってカスタムドメインでHTTPSのSPA環境を構築します。今回はRoute53で管理しているドメイン、SSLはGoogleマネージドのSSL証明書を利用します。 Search Consoleでドメインの所有権確認 この操作はGCPと同じGoogleアカウントで行ってください 静的ウェブサイトのホスティングにあたりドメイン名を持つバケットを作成しますのでまずは利用するドメインの所有権確認を行います。Google Search ConsoleでDNSレコードでの所有権の確認の指示を元に実施します。ドメインでドメイン名を入力し続行をクリックします。 表示されるTXTレコードを利用するドメインのDNSプロバイダにて登録し確認をクリックします。 確認トークンが見つからない場合はエラーが表示されます。後ほど確認しましょう。 成功すると下記の

                                Cloud Storageを使ったカスタムドメインでHTTPSのSPA環境を構築する #gcp | DevelopersIO
                              • 「OpenSSL 1.1.1」のサポートまで6カ月を切る ~「OpenSSL 3.0/3.1」への移行を/プレミアムサポート契約を有償で購入することも可能

                                  「OpenSSL 1.1.1」のサポートまで6カ月を切る ~「OpenSSL 3.0/3.1」への移行を/プレミアムサポート契約を有償で購入することも可能
                                • デジサートのサーバー証明書に「O」を「o」とした誤記、5月12日に強制失効へ

                                  米DigiCert(デジサート)の日本法人であるデジサート・ジャパンは2024年5月8日、デジサートが発行したサーバー証明書の一部に記載フォーマットの誤りがあったと発表した。これに伴い、当該証明書は5月12日午前1時(日本時間)に強制失効する。同社は失効対象の証明書を利用する企業に対して、証明書の再発行と入れ替えを呼びかけている。 サーバー証明書とは、WebサイトにアクセスするHTTPS通信で通信内容の暗号化や改ざん検知などを行う「TLS」という仕組みで必要な証明書。デジサートなど「認証局」と呼ばれる機関が発行する。サーバー証明書が失効すると、正規のWebサイトであってもWebブラウザーが安全性を確認できないサイトとして警告を表示する。 大文字小文字を区別すべきところ、小文字で誤記 失効の恐れがあるのは2023年9月から同年12月中旬までに発行したEVサーバー証明書と呼ばれる証明書の一部。

                                    デジサートのサーバー証明書に「O」を「o」とした誤記、5月12日に強制失効へ
                                  • ACMの証明書をEC2で利用可能になりました - サーバーワークスエンジニアブログ

                                    こんにちは。SRE2課の福島です。 はじめに ポイント 検証 ①ACMで証明書の発行 ②EC2インスタンスの作成(特定のAMIを利用する。) ③IAMロールの作成 ④③で作成したIAMロールを証明書に関連付け ⑤③で作成したIAMロールにポリシー適用 ⑥②で作成したEC2にIAMロールをアタッチ ⑦Nginxの設定 /etc/nitro_enclaves/acm.yamlの編集 /etc/nginx/nginx.confの編集 終わりに おまけ dry-runが成功したインスタンスタイプ一覧 はじめに 今回は、以下のアップデートを実際に試してみましたので、ブログにまとめたいと思います。 Announcing SSL/TLS certificates for Amazon EC2 instances with AWS Certificate Manager (ACM) for Nitro E

                                      ACMの証明書をEC2で利用可能になりました - サーバーワークスエンジニアブログ
                                    • Ubuntu 22.04 には OpenSSL 3 しか存在しないため Ruby 3.1 未満のバージョンはビルドできない問題 - HsbtDiary(2022-05-12)

                                      ■ Ubuntu 22.04 には OpenSSL 3 しか存在しないため Ruby 3.1 未満のバージョンはビルドできない問題 タイトルが全てなんですが、 Ubuntu 22.04 Jammy には OpenSSL のバージョン 3 しか提供されないので、Ruby 3.1 未満、具体的には 2.7 や 3.0 はビルドできません。 https://bugs.ruby-lang.org/issues/18658 https://github.com/rbenv/ruby-build/pull/1974 独自に OpenSSL 1.1 をビルドしてそれらを --with-openssl-dir で指定すればビルドできますが、それはそれで面倒なので ruby-build で @znz さんがパッチを投げて今揉んでいるという状況です。 また、OpenSSL 3 に対応した openssl ge

                                      • IISでお手軽!ローカル環境でSSL暗号化通信! - ROBOT PAYMENT TECH-BLOG

                                        はじめに まずはWebサイトの作成 自己署名入り証明書の作成 証明書の設定 さて確認! 感想 はじめに 桜が散り、緑が生い茂り風薫る季節となりました。 皆様いかがお過ごしでしょうか? 決済サービスの開発を担当しております yoponpon と申します。 今回はMicrosoft IISを利用する環境で簡単に自己署名入り証明書を作成してSSL通信有効化する手順について書かせていただければと思います。 サービス開発をしていると、稀にローカル環境でHTTPS接続をして動作確認をしたくなること、また必要に迫られる場面が有るかと思います。手っ取り早い解決手段としては、自己署名入り証明書を作成することかと思うのですが、作成の仕方が面倒だったり、ブラウザ側で認証が通らなかったりなど、多くの壁があるように感じます。 こちらの記事で説明させて頂くのはブラウザ(主にChrome)で問題なく認証が通り画面表示が

                                          IISでお手軽!ローカル環境でSSL暗号化通信! - ROBOT PAYMENT TECH-BLOG
                                        • Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。"

                                          HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。

                                            Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。"
                                          • 「Google Chrome」は独自のルートストアへ ~「Chrome Root Program」の開始が発表/Windows/Macの「Chrome 105」よりロールアウト

                                              「Google Chrome」は独自のルートストアへ ~「Chrome Root Program」の開始が発表/Windows/Macの「Chrome 105」よりロールアウト
                                            • AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET

                                              PKIベースでAWSのIAMロールを使える IAM Role Anywhereが発表されました。早速使えるようだったのでOpenSSLでCA構築して使ってみた手順を残しておきます。 環境汚さないためにDocker使っています。 AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS What is AWS Identity and Access Management Roles Anywhere? - IAM Roles Anywhere Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog [HostOS] RootCA用のDo

                                                AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET
                                              • Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ | スラド セキュリティ

                                                Let's Encryptがルート証明書の切り替えに向け、古いバージョンのAndroidへの対策をサイトオーナーとユーザーに呼びかけている(Let's Encryptのブログ記事、 The Registerの記事)。 5年前にLet's Encryptが立ち上げられた際にはIdenTrustのクロス署名を得たルート証明書「DST Root X3」を使用することで、メジャーなソフトウェアプラットフォームすべてで信頼される証明書をすぐに発行することが可能だったという。しかし、DST Root X3は2021年9月1日に失効する(ただし、実際に証明書を見ると有効期限は日本時間2021/9/30 23:01:15となっている)。他のCAからクロス署名を得た証明書を使い続けることはリスクが高いため、Let's Encryptでは既に独自のルート証明書「ISRG Root X1」を発行している。このル

                                                • OpenSSLコマンドでサーバの証明書情報を確認する4つの方法

                                                  インターネットの安全を支えるOpenSSL TLSはインターネットを安全に利用する上で欠かすことのできない重要な要素だ。そして、その実装系のひとつであるOpenSSLは多くのサーバ管理者にとって欠かすことのできないソフトウェアとなっている。 ユーザーの多くはOpenSSLについて気にも留めていないか、パワーユーザーであればOpenSSLを暗号系のライブラリまたはフレームワークといった類のもの、という認識を持っているのではないだろうか。Webサーバの管理者であれば、Webサーバをセットアップする最初の段階で証明書の作成に利用するツールという認識を持っているかもしれない。しかし、OpenSSLはそれだけのソフトウェアではない。 OpenSSLは証明書署名要求や自己署名証明書の生成のみならず、ファイルの暗号化や復号化、証明書の検証や証明書有効期限の確認など、さまざまな機能を提供するコマンドでもあ

                                                    OpenSSLコマンドでサーバの証明書情報を確認する4つの方法
                                                  • 中間証明書のないサーバにアクセスする - 詩と創作・思索のひろば

                                                    不特定多数のウェブサイトにアクセスするアプリケーションを書いていると、ときおり SSL 証明書の検証エラーとなる URL に行き当たることがある。が、確認のためブラウザでアクセスしてみると、普通に見れてしまったりもする。そんな事例のひとつ、タイトルの通り中間CA証明書のないサーバについて。 https://incomplete-chain.badssl.com/ というわかりやすい例がある。これを curl してみると: % docker run -it --rm buildpack-deps:buster bash root@22f1788d53c7:/# curl --version curl 7.64.0 (x86_64-pc-linux-gnu) libcurl/7.64.0 OpenSSL/1.1.1d zlib/1.2.11 libidn2/2.0.5 libpsl/0.20.

                                                      中間証明書のないサーバにアクセスする - 詩と創作・思索のひろば
                                                    • CentOS5のApacheをTLS1.2に対応させてみた - DENET 技術ブログ

                                                      こんにちは、新型コロナウイルス感染症対策のためテレワーク勤務中の山田です。 テレワーク勤務に伴い通勤で運動をしなくなった分、定時後から日の入りまでちょくちょく近くの河川公園を歩いています。 ソーシャルディスタンスを保ちつつ、マスクを防備していますので息苦しいですが仕方ありません... 前置き さて、日本では新型コロナウイルスの話題が飛び交う毎日ですが、コロナの話題が出る1ヶ月ほど前主要ブラウザの「TLS1.0」と「TLS1.1」サポートが終了しようとしていたのは、ご存知でしょうか。 この業界に詳しい方であれば、既に対策済みの方がほどんどではないかと思いますが、新型コロナウイルスの世界的流行に伴い各主要ブラウザは、サポート終了時期が延期もしくは再有効化がなされています。 CentOS5系は、サポート終了しておりますOSになりますため、TLS1.2サポートの対策には6系以降のOSにリプレイスさ

                                                      • 危険な“混合フォーム(mixed forms)”にご用心 ~「Google Chrome 86」から警告措置/セキュアなHTTPSページにも盗聴・改竄の危険があるHTTPで送信するWebフォームが含まれることも

                                                          危険な“混合フォーム(mixed forms)”にご用心 ~「Google Chrome 86」から警告措置/セキュアなHTTPSページにも盗聴・改竄の危険があるHTTPで送信するWebフォームが含まれることも
                                                        • ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門

                                                          ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門:Cloud Nativeチートシート(29) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介する。 もう、手動で証明書を作成、取得、設定する世界には戻れない 今やWeb公開で必須となったSSL(Secure Sockets Layer)/TLS(Transport Layer Security)ですが、素の「Kubernetes」において「Ingress」や「Gateway API」でSSL/T

                                                            ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門
                                                          • ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ

                                                            ストーリー by nagazou 2022年03月15日 16時10分 ますますロシア国外情報にアクセスしにくくなりそう 部門より ロシアが独自のTLS認証局を創設したとの報道が出ている。ロシアは現在、ウクライナ侵略を受けて世界各国からさまざまな制裁を受けているが、欧米の企業や政府による制裁措置により、既存のTLS証明書を更新することができない状況に陥っている。証明書の有効期限が切れてしまえば、ブラウザ側でサイトへのアクセスがブロックされてしまう。このため独自のTLS認証局を創設し、期限切れもしくは無効化された場合の代替となる証明書を無料で発行するとしている(Bleeping Computer、TECH+)。 ロシアの公共サービスポータルである「Gosuslugi」によれば、新たなサービスでは、5営業日以内に証明書を無料サイト所有者である法人に提供するとしている。ただし、こうした新しい認証

                                                            • OpenSSL 3.0のTLS証明書用プライベート鍵生成方法

                                                              こんにちは、技術開発室の滝澤です。 前回(2021年7月)、『TLS証明書チェッカーcheck-tls-certの公開』というエントリーを公開しました。このcheck-tls-certを開発するにあたって、テスト用のPKI(Public Key Infrastructure、公開鍵基盤)を構築しました。 opensslコマンドを利用したPKI用のスクリプトを整備したのですが、開発当時ではOpenSSL 3.0の開発が進んでいることもあり、OpenSSL 3.0でも利用できるようにとドキュメントを読んでみると、「deprecated」(非推奨)の文字が散見されました。そのため、それを踏まえたスクリプトを書きました。この際に得られた知見を本記事で紹介します。 なお、2021年9月7日にOpenSSL 3.0.0がリリースされました。 本記事を1行でまとめると次のようになります。 OpenSSL

                                                              • サーバー証明書/中間CA証明書/ルート証明書の違いとは? | さくらのSSL

                                                                SSL証明書は、上位の証明書が次の証明書に署名し、次の証明書がさらにその次の証明書に署名するという信頼の連鎖(トラストチェーン)で成り立っています。例えば、もし上記のような階層構造の中間に挟まっている証明書が抜けていたり、最上位の証明書が無かったりした場合、この階層構造が崩壊してしまい「example.jp」ドメインは認証されません。認証されない場合、ブラウザにエラー画面が表示され、サイトにアクセスできなくなります。 さて、「認証されずにサイトにアクセスできない」と書きましたが、そもそもSSL証明書がドメインを認証する(SSL証明書を送ってきたサーバーのドメインが、SSL証明書に記載されたドメインと同じであると判断する)仕組みはどうなっているのでしょうか? 例のように「example.jp」のSSL証明書は、サーバーからセットで送られてきた「Example CA intermediate

                                                                  サーバー証明書/中間CA証明書/ルート証明書の違いとは? | さくらのSSL
                                                                • ロシア政府の「信頼されたルート証明機関」を信頼してはならない | p2ptk[.]org

                                                                  Electronic Frontier Foundation 先週、ロシア・デジタル開発通信省は、ロシア市民に政府公認のウェブブラウザをダウンロードするか、ブラウザの基本設定を変更するよう指示した。 こうした変更は、ロシア人が国際的な制裁を受けているウェブサイトや政府系サービスにアクセスするために不可避な側面もある。だが、ロシア政府がサービスを維持するために実施している応急的措置は、現在、そして将来に渡ってロシア市民の監視を可能にしてしまう。極めて憂慮すべき事態である。 ICANNとRIPEは、ロシアのトップレベルドメイン、ドメインネームシステムのルートサーバへのアクセス、IPアドレスの取り消しを求めるウクライナの要請を拒否した。だが、国際的な制裁はロシアのインターネットインフラに大打撃を与えている。ウェブ上のデータセキュリティを支える認証局(Certificate Authorities

                                                                    ロシア政府の「信頼されたルート証明機関」を信頼してはならない | p2ptk[.]org
                                                                  • Google ChromeがEntrust証明書を2024年11月からデフォルトでブロックすることに

                                                                    Googleが、CA(認証局)として証明書の発行を手がけるセキュリティ企業「Entrust」が、認証局オーナーとしての能力、信頼性、および完全性に対する信頼を損なったとして、2024年10月31日以降に発行されるEntrust証明書をGoogle Chromeはデフォルトで受け入れずブロックする方針であることを明らかにしました。 Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html Google cuts ties with Entrust in Chrome over trus

                                                                      Google ChromeがEntrust証明書を2024年11月からデフォルトでブロックすることに
                                                                    • Ruby 3.0 がセキュリティメンテナンスフェーズになったのでいくつか補足, snap と all-ruby を更新した - HsbtDiary(2023-03-31)

                                                                      ■ Ruby 3.0 がセキュリティメンテナンスフェーズになったのでいくつか補足 Ruby 3.0 がセキュリティメンテナンスフェーズになったことに合わせて、いくつかサプライチェーン周りで考えておく必要がある事項があるので共有しときます。 Ruby 3.0 は OpenSSL 3.0 対応しないことになった Bug #18658: Need openssl 3 support for Ubuntu 22.04 (Ruby 2.7.x and 3.0.x) - Ruby master - Ruby Issue Tracking System に書いたように、Ruby 3.0 には OpenSSL 3.0 に対応した openssl gem はバックポートされないことになりました。つまり、OpenSSL 3.x しか提供されない Ubuntu 22.04 では Ruby 3.0 はビルドできな

                                                                      • Ending Support for Expiration Notification Emails

                                                                        Since its inception, Let’s Encrypt has been sending expiration notification emails to subscribers that have provided an email address to us. We will be ending this service on June 4, 2025. The decision to end this service is the result of the following factors: Over the past 10 years more and more of our subscribers have been able to put reliable automation into place for certificate renewal. Prov

                                                                          Ending Support for Expiration Notification Emails
                                                                        • OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起

                                                                          JPCERT-AT-2021-0015 JPCERT/CC 2021-03-26(新規) 2021-03-29(更新) I. 概要2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。 脆弱性の詳細については、OpenSSL Projectの情報を確認してください。 OpenSSL Project OpenSSL Security Advisory [

                                                                            OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
                                                                          • Let's Encryptは最短6日間、加速するサーバー証明書有効期間の短期化

                                                                            有効期間の短いサーバー証明書を発行する動きが活発だ。サーバー証明書を発行する認証局Let's Encrypt(レッツエンクリプト)は、有効期間を6日間に設定した「短期証明書」を一般提供する。短期化すれば認証局にとって失効検証にかかる負荷を軽減できる一方、Webサーバーの担当者は更新漏れなど証明書を失効するリスクを負う。 レッツエンクリプトはこれまでの有効期間が90日間の証明書の発行は継続しつつ、2025年末までに有効期間が6日間の短期証明書の一般提供を開始する。証明書の更新に使用するACME(Automated Certificate Management Environment)クライアントに追加する証明書プロファイル機能を通じて、短期証明書が選択できる。 サーバー証明書の有効期間を短くする背景の1つに、「サーバー証明書の失効検証を省略できるという考え方がWebブラウザー業界に広まってい

                                                                              Let's Encryptは最短6日間、加速するサーバー証明書有効期間の短期化
                                                                            • Microsoft、TLS 1.0/1.1廃止日一覧を公開

                                                                              TLS 1.0およびTLS 1.1はセキュリティ上、脆弱であると考えられており、多くのベンダが使用停止を進めている。Microsoftも同社のサービスやプロダクトにおいてTLS 1.0および1.1の使用停止を進めている。しかし、この作業は一度に進められているのではなく、サービスやプロダクトごとに個別に進められている。どのサービスでいつ利用できなくなるのか、まとまった情報は公開されていない。 Microsoftはこのほど「TLS 1.0 and 1.1 deprecation - Microsoft Tech Community - 1620264」において、同社のサービスおよびプロダクトにおけるTLS 1.0/1.1サポート廃止のタイムラインを簡単にまとめた情報を公開した。どのサービスがいつサポート廃止となるかを確認できる。 掲載されている主な情報は次のとおり。

                                                                                Microsoft、TLS 1.0/1.1廃止日一覧を公開
                                                                              • 第775回 step-caで自前のLet's Encrypt/ACMEサーバーをUbuntu上に構築する | gihyo.jp

                                                                                最近のWebサイトを表示する際は、サーバー証明書とTLSを利用したセキュアな接続が大半になってきました。これはセキュリティ意識の向上もさることながら、Let's Encryptに代表される「サーバー証明書の更新の自動化」もその一助となっていることでしょう。今回はこのLet's Encryptっぽいサービスをローカルネットワーク内部に構築してみましょう。 図1 step-caを使えば、自己署名証明書であってもLet's Encryptと同じ方法で自動更新できる Let's EncryptとACMEプロトコル Let's Encryptは無償でサーバー証明書を発行し、自動的に更新処理を行える認証局です。インターネットに関わる名だたる企業・団体の多くが参加することで、300万サイト以上という非常に多くの利用者を抱えているにも関わらず、10年以上に渡って無償でオープンな組織運営を続けています。 L

                                                                                  第775回 step-caで自前のLet's Encrypt/ACMEサーバーをUbuntu上に構築する | gihyo.jp
                                                                                • Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに

                                                                                  Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに The Hacker NewsはDellとHP、Lenovoのデバイスファームウェアに古いバージョンのOpenSSLが使われていることを指摘した。調査によれば、10年以上前のOpenSSLが使われているデバイスも見つかった。

                                                                                    Dell、HP、Lenovoのデバイスファームウェアが古いOpenSSL使用 サプライチェーンリスクが浮き彫りに

                                                                                  新着記事