golangで作るTLS1.2プロトコル
はじめに 前回自作でTCPIP+HTTPを実装して動作を確認することができました。 しかしご覧頂いた方はおわかりのように、通信はHTTP=平文でやり取りされておりパスワードなど機密情報が用意に見れてしまう状態です。 普段我々がブラウザに安心してパスワードを入力しているのは通信がTLSで暗号化されているからです。ではそのTLSの仕組みはどうなっているのでしょう? 恥ずかしい限りですが僕はわかりません。😇😇😇 ということで以下を読みながらTLSプロトコルを自作してみてその仕組みを学ぶことにします。 マスタリングTCP/IP情報セキュリティ編 RFC5246 プロフェッショナルSSL/TLS 今回の実装方針です。 TLS1.2プロトコルを自作する 暗号化などの処理はcryptパッケージの関数を適時利用する tcp接続にはconnectを使う 鍵交換はまずRSAで作成する TLS_RSA_W
Googleに所属するSSL専門家のAdam Langley氏は米国時間12月8日、自身のブログで多くのTLS実装に対して警告を出した。以前明らかになった、SSLバージョン3(SSLv3)に影響する「POODLE(Padding Oracle On Downgraded Legacy Encryption)」攻撃と同じような攻撃につながる脆弱性を含んでいるという。 SSLv3は、CBCモードの暗号でデータのパディングを効果的に特定しない。そのため、ブロック暗号の整合性をきちんと確認できず、「パディングオラクル攻撃」を可能にしてしまう。SSLv3の後、仕様はTLSと改名され、バージョン1になった。TLSv1の変更点の1つとして、パディングオラクル攻撃を防ぐためのパディング処理を改善した。 だが、TLS実装でもパディングバイトのチェックは完全ではないという。多くのTLS実装がSSLv3ソフトウ
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 WebサイトをHTTPS化する最も大きな理由は、インターネットの信頼性を維持することです。TLS技術の現状や、安全なHTTPS化に何が必要かを、ヤフー株式会社の大津繁樹氏が解説します。 「SEO対策のためには、WebサイトをHTTPS化しないといけない。」 —— そう聞かされて対応を迫られている技術者の方も多いのではないでしょうか? 確かに、Googleは「HTTPSページが優先的にインデックスに登録されるようになります」と表明し、HTTPS化されたWebサイトが同社の検索結果で有利になると示唆しています。はたして、WebサイトのHTTPS化が必要な理由は、SEO対策だけなのでしょうか? そして、それはGoogleという一社だけの意向で推奨されていることなのでしょうか? こうした疑問に答
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
はじめに Amazon Certificate Manager(以降、ACM)から取得したSSL/TLS証明書についての有効期限について書いてみます。 ACMで提供されるSSL/TLS証明書は13ヶ月の有効期限が設定されており、有効期限間近になるとACM側で自動更新が実施されます。 ですが、一部の証明書は自動更新が実施されずに手動にて更新を行う必要があります。 どういった時に自動更新されないか? ACMで管理されている証明書で自動更新が実施されない理由は以下になります。 自動更新プロセス適用条件 AWS Certificate Manager (ACM) 証明書の自動更新時の注意点 通常、ACM では自動で証明書更新が完了いたします。ご利用者側で証明書をインストールしたりソフトウェアを更新いただく必要はありません。自動更新による通信の瞬断もありません。証明書の保守管理が理由でWebサイトな
FirefoxやGoogle ChromeなどのWebブラウザは、既にTLS 1.3のドラフト版に対応しており、Mozillaは10月にリリースされる「Firefox 63」で、今回公開された正式版に対応予定。 米Mozilla Foundationは8月13日、インターネット通信暗号化規格の最新バージョンとなる「TLS 1.3」が正式リリースされたことを受け、Webブラウザ「Firefox」での対応状況を説明した。 TLS(Transport Layer Security)は、インターネットを介したクライアントとサーバ間の通信の傍受や改ざんを防ぐためのHTTPS接続に使われているプロトコルで、標準化団体のIETF(Internet Engineering Task Force)が8月10日、バージョン1.3の正式版リリースを発表していた。 Mozillaによると、TLS 1.3では1.2
Webサービス事業者として僕が先行して調査したり研究・開発している技術の中で、Webサーバ設定におけるHTTP/2とそのmruby活用についてや、PFS(Perfect Foward Secrecy)を考慮したTLS設定と大量証明書設定の効率化について、社内のインフラエンジニア向けに技術共有を行いました。 内容としては、まずはざっくりと知ってもらう事を目的に、細かい要素技術について深く立ち入り過ぎない程度に、今後弊社でのWebサービスのインフラ技術周りのアーキテクチャを考える上で必要になりそうな事を中心にお話しましたので、少し汎用性に欠けるかもしれません。 特に技術的に見せられないような話ではないので、参考程度に公開しておきます。どこかで喋って欲しいみたいな依頼は随時受け付けておりますので、お気軽にお問い合わせ下さい。 以下の二本立てです。 HTTP/2とmrubyの活用 HTTP/2時代
「クラウド、HTTP/2、常時TLS時代に最適化されたHTTPサーバーを目指す」:Nginxより高速、HTTP/2サーバー「H2O」 - @IT
Nginxより高速、HTTP/2サーバー「H2O」:「クラウド、HTTP/2、常時TLS時代に最適化されたHTTPサーバーを目指す」 「クラウド、HTTP/2、常時TLS時代に最適化されたHTTPサーバーを目指す」というHTTPサーバーのバージョン1.6がリリースされた。前バージョンのベンチマークではNginxより性能が高い場面も見受けられる。 HTTP/2サーバー「H2O」のバージョン1.6が2015年12月4日にリリースされた。 H2Oは現在ディー・エヌ・エーに勤める奥一穂氏を中心に、2014年から開発されているWebサーバー。プロジェクトの目的として、「クラウド、HTTP/2、常時TLS時代に最適化されたHTTPサーバーを目指す」としている。H2OはMITライセンスを採用したオープンソースプロダクトで、ソースコードはGitHubで公開されている。 H2Oは、HTTP/1.0、1.1に
ウェブブラウザにおけるTLS/SSLの対応状況の変化 ウェブブラウザ バージョン プラットフォーム SSLプロトコル TLSプロトコル 証明書のサポート 脆弱性への対応[注 1] プロトコル選択[注 2] SSL 2.0 (安全ではない) SSL 3.0 (安全ではない) TLS 1.0 TLS 1.1 TLS 1.2 TLS 1.3 EV[注 3][1] SHA-2[2] ECDSA[3] BEAST [注 4] CRIME [注 5] POODLE (SSLv3) [注 6] RC4 [注 7] FREAK [4][5] Logjam Google Chrome (Chrome for Android) [注 8] [注 9]
DeNA Engineer Advent Calendar 2016 7日目の記事です。 こんにちは。奥一穂です。 DeNAのゲームサーバが元になっているオープンソースのHTTPサーバ「H2O」の開発や、IETFでプロトコル関連の標準化活動を行っています。 11月に韓国のソウルで開催されたIETF 97では、私たちが提案中のHTTP拡張(Cache Digests for HTTP/2、103 Early Hints)の議論の他、TLSの次期バージョンであるTLS 1.3のプロトコル実装に関する相互運用性の確認を行ってきました。 その結果を先月末に開催されたhttp2勉強会 #10で発表してきましたので、こちらにて資料を公開させていただきます。 昨年制定されたHTTP/2に続き、TLS 1.3は制定秒読み段階、さらにQUICの標準化作業が開始されるなど、ウェブを支えるプロトコルは変革の時を
Internet Week 2014 セッションS14 サーバーのSSL/TLS設定のツボ (配布資料) 2014年11月20日(木) 13:45-14:15 於:富士ソフトアキバプラザ 漆嶌 賢二 本文中の登録商標および商標はそれぞれの所有者に帰属します。 富士ゼロックス株式会社 SkyDeskサービスセンター 漆嶌賢二 © 2014 Fuji Xerox Co., Ltd. All rights reserved. © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 時期 問題・事件 対策 2005.11 OpenSSL SSLv2バージョンロールバック アップデート 2009.01 RapidSSL MD5衝突偽造中間CA アップデートやPinning 2009.07 NULL終端による証明書ホスト名一致不備 アップデートやPinni
電子フロンティア財団(Electronic Frontier Foundation: EFF)は11月18日(米国時間)、SSL/TLSの採用を促進する認証事業者(CA)イニシアチブ「Let's Encrypt」を発表した。ドメイン所有者が簡単なプロセスでDV証明書の発行を無料で受けられるようにし、Webアクセスでやり取りする全てのデータの暗号化実現を目指す。2015年夏に運用開始する予定。 Let’s Encryptは、Mozilla、Cisco Systems、Akamai Technologies、EFF、IdenTrust、ミシガン大学の研究者などによる協同の取り組みで、新たに設立された非営利組織Internet Security Research Group (ISRG)によって運営される。 なりすましやフィッシング、個人データの盗用や悪用といった被害を減らすために、SSL/TL
御社の常時SSL (TLS) への対応はお済みですか。というわけで本稿ではRFCで標準化されているプロトコルのうち、SSL (TLS) に対応済みのものを列挙していきたいと思います。 用語の定義 本稿では、以下の用語を使います。 Implicit TLS (暗黙のTLS) TCPコネクション開始と同時にTLSセッションがいきなり始まる方式です。httpsなどはこれです。平文通信用と暗号通信用に別々のポートを割り当てる必要がありますが、そのぶん低レイテンシーを実現できます。 Explicit TLS (明示的TLS) TCPコネクションが確立すると、最初は平文で通信が始まり、そこからTLSへ移行する方式です。STARTTLSとか、そんな感じのコマンドが用意されているのがこれです。特徴としては、平文通信と暗号通信を同じポートでカバーできます。平文で始まって暗号へ切り替わるという手順を踏む分、レ
SSL/TLS, SSH で利用されている公開鍵の多くが意図せず他のサイトと秘密鍵を共有している問題 – IIJ Security Diary
インターネット上の IPv4 アドレスを広範囲にスキャンして、SSL/TLS, SSH で利用されている公開鍵証明書および DSA 署名を収集したところ、SSL/TLS では5.57% (714,243アドレス)、SSH では9.60% (981,166アドレス) が、意図せず他のサイトと秘密鍵を共有していることが報告されています。その原因は機器出荷時のデフォルト鍵を利用しているケースと、鍵生成時に擬似乱数生成モジュールのエントロピー不足であることが指摘されています。善意で提供されているオンライン鍵チェックサービスにより公開鍵が脆弱かどうかチェックできますので、必要な場合には早急に対策を実施してください。 USENIX Security Symposium は、毎年実践的な研究発表が行われる場で、本年は8月6日から10日にかけて、米国 Redmond にて他のワークショップとともに開催され
New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS | Amazon Web Services
AWS News Blog New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS I am fascinated by things that are simple on the surface and complex underneath! For example, consider the popular padlock icon that is used to signify that traffic to and from a web site is encrypted: How does the browser know that it should display the green padlock? Well, that’s quite the story! It all starts with a
✕ Synopsys Software Integrity Group is now operating as Black Duck Software, Inc., a subsidiary of Synopsys. Click to learn more. It’s a bold new beginning The All-in-One Application Security Platform Optimized for DevSecOps Whether testing one application or thousands, automate any scan, any time, anywhere, all at once Explore the Polaris platform 2024 Open Source Security and Risk Analysis Repor
比較的新しい言語では当然のようにSSL/TLS通信の機能が標準ライブラリに含まれている。てっきり、それらの実装はOpenSSLなのだろうと思っていたのだけれど、驚いたことにGo言語のライブラリはOpenSSLを使わず自前実装しているらしい。 [go-nuts] Why did Go implement its own SSL library? 上記のスレッドでは自前実装の動機について質問されており、Rob Pikeからの回答には非常に重要な指摘が含まれている: Moreover, Go is safer and cleaner and I would argue therefore a safer language for writing crypto code than C or C++. そうだよなぁ、C/C++を10年以上使って苦労してきた自分の経験からしても、これは真だと思う。メモ
組み込み技術者向けTLS1.3基礎解説(前編):まずはSSL/TLSについて知ろう:IoTセキュリティ基礎解説(1/3 ページ) インターネット接続機器のセキュリティ技術として広く用いられているTLSの最新バージョン「TLS1.3」は、IoTデバイスを強く意識して標準化が進められた。本稿では、組み込み技術者向けにTLS1.3の基礎を解説する。前編ではまず、TLS1.3のベースとなる一般的な暗号化通信技術であるSSL/TLSについて説明する。 1.はじめに 組み込み機器の中でも、IoT(モノのインターネット)デバイスが扱う情報はビジネス価値の高いビッグデータやプライバシー情報などセンシティブな情報の宝庫であり、デバイスの増加とともにセキュリティの強化が喫緊の課題となっている。 インターネット接続機器の通信の秘密を守るために日常的に使用されているセキュリティ対策の1つが暗号化である。暗号化技術
「ZTLS: A DNS-based Approach to Zero Round Trip Delay in TLS」という論文が公開されている。アイデアが面白いので簡単に眺める。 PDFも今のところACMのサイトから見れる https://dl.acm.org/doi/abs/10.1145/3543507.3583516 概要 DNSからTLSハンドシェイクに必要な情報を通知し、0-RTTハンドシェイクを行う 通常のTLSと互換性がある シーケンス図 (引用: 「ZTLS: A DNS-based Approach to Zero Round Trip Delay in TLS」 Figure 3) 事前に、サーバ側はZ-Data(ハンドシェイクに必要な情報)をDNSにアップロードしておく クライアントはサーバDNSに対してAレコードと、Z-Dataを含むレコードを並列に問い合わせ取
Analytics cookies are off for visitors from the UK or EEA unless they click Accept or submit a form on nginx.com. They’re on by default for everybody else. Follow the instructions here to deactivate analytics cookies. This deactivation will work even if you later click Accept or submit a form. Check this box so we and our advertising and social media partners can use cookies on nginx.com to better
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 中国政府は、国内の通信を検閲するシステムである「グレートファイアウォール」(GFW)をアップデートし、通信のインターセプト(傍受、妨害)を防止する最新のセキュリティプロトコルを使ったHTTPS接続をブロックし始めた。 中国の検閲状況を調査している3つの組織(iYouPort、メリーランド大学、Great Firewall Report)が米国時間8月7日に発表した共同レポートによれば、この状況は7月末から始まっているという。 中国政府はHTTPS+TLS 1.3+ESNIの接続をブロック GFWのアップデートで新たに標的になったのは、「TLS 1.3」や「ESNI」(Encrypted Server Name Indication)など
id:blooper:20120907 の続きですが、皆様におかれましては既に証明書が好きで好きでたまらなくなって、HTTPS を利用したサイトに行くと証明書の拡張まで読んだ後でなくては証明書の内容が気になってサイトの本文が読めなくなっているかと思いますが如何お過ごしでしょうか。 SSL は Secure Sockets Layer の頭文字で Netscape Communications が 1995 年に、ってのは wikipedia:Secure_Sockets_Layer でも見れば載ってるので見てね。で、RFC にしようってことで SSL は Netscape のでしょ? ってことで TLS (Transport Layer Security) に改名した、と記憶してるんだけど本当だっけな。ハンドシェイク時のレコードのバージョン見ると SSLv3.0 は 3.0 TLSv1.0
WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued
WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued Attackers pounce before site owners can activate the installation wizard Attackers are abusing the Certificate Transparency (CT) system to compromise new WordPress sites in the typically brief window of time before the content management system (CMS) has been configured and therefore secured. CT is a web security stan
プロフェッショナルSSL/TLS
こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み) Ivan Ristić 著、齋藤孝道 監訳 520ページ B5判 ISBN:978-4-908686-00-9 電子書籍の形式:PDF 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み) 本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます 現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信
The session begins with the client saying "Hello". The client provides the following: protocol version client random data (used later in the handshake) an optional session id to resume a list of cipher suites a list of compression methods a list of extensions TLS sessions are broken into the sending and receiving of "records", which are blocks of data with a type, a protocol version, and a length.
自堕落な技術者の日記 : Internet Week 2014パネルで話しそびれたネタ: 統計情報でみるSSL/TLS - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 先週のInternet Week 2014でHTTPSサーバー設定の話をさせて頂きました。お越し頂いた方、ありがとうございました。マニアックな内容だったのですが、何か参考になる所があれば嬉しいです。 さて、今日はパネルネタで仕込んでおいたのに陽の目を見なかった話をちょっとブログで書こうと思います。SSL/TLS関連で統計データみたいなものを出しているサイトが幾つかあって、そこから世の中の傾向がわかったり、それを元に自分のサーバーはどう設定するかなぁ、などと考えるのに役に立つのではと思い紹介したいと思います。 SSL Pulse まず最初に紹介したいのがSSL Pulseというサイトです。 出典:SSL Pulse https://www.tr
自堕落な技術者の日記 : 「RFC 7525 TLSとDTLSの安全な利用に関する推奨事項」の公開 - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 2015年5月7日に「RFC 7525 TLSとDTLSの安全な利用に関する推奨事項(Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS))」が公開されました。 昨年あたり、SSL/TLSで使われる暗号アルゴリズム、プロトコルや実装にいろいろな問題が見つかり、製品をそのままデフォルトで使っているとロクなことが無いわけですが、どんなことに注意しながら実装や設定をしなければならないかをベストカレントプラクティス(現時点での最良の慣行)としてまとめたRFCだそうです。 最近、SSL/T
ブログサービスのHTTPS化を支えたAWSで作るピタゴラスイッチ / The construction of large scale TLS certificates management system with AWS
talked at builderscon tokyo 2018
2011/09/20 TLS 1.0に深刻な弱点が見付かる セキュリティ研究者のThai Duong氏とJuliano Rizzo氏は、TLS 1.0/SSL 3.0を使っているウェブサイトで、攻撃者にエンドユーザとウェブサイト間に流れるデータを気付かれずに復号化できるという深刻な弱点を発表するそうだ。今のところ、TLS 1.1や1.2は影響はないとのこと。今週、ブエノスアイレスで開催されるekopartyセキュリティ会議で、両氏はBEAST (Browser Exploit Against SSL/TLS)と呼ばれるコードでそのデモを行うそうだ(デモは23日)。Duong氏は、デモではPayPalアカウントにアクセスするために使われる認証用のcookieを復号化すると語っている。このBEASTは、標的となるブラウザにBEASTのクライアント側のJavaScriptコードを埋め込み、中間(
インターネットサービス企業Netcraftは4月12日(米国時間)、「Let's Encrypt and Comodo issue thousands of certificates for phishing|Netcraft」において、2017年第1四半期において、フィッシングサイトの約96%は2つの認証局によって発行されたTLS証明書を使っていたと伝えた。61%はLet's Encrypt、36%はComodoによって発行されたものとのこと。この2つの認証局によって発行されたTLS証明書がフィッシングサイトで使われる割合は過去1年間で増え続けている。 Let’s Encrypt and Comodo issue thousands of certificates for phishing|Netcraftより抜粋 フィッシングサイトを用いる攻撃者にとって、Let's EncryptやC
ソースコードを調べた研究者は、この脆弱性がiOSだけでなく、OS X 10.9.1にも存在していることを確認したと伝えた。 AppleのiOSにSSL関連の脆弱性が見つかった問題で、この脆弱性はOS Xにも存在していることが判明した。この問題は第三者が通信に割り込む「中間者攻撃」に利用される恐れがあり、非常に危険度が高いとして、セキュリティ専門家はできるだけ早くアップデートを適用するよう呼びかけている。 Appleが公開しているソースコードを調べたGoogleの研究者、アダム・ラングリー氏は、この脆弱性がiOSだけでなく、OS X 10.9.1にも存在していることを確認したと、自身のブログで報告した。 同氏によると、ソースコードの中の証明書をチェックするプロセスで、「goto fail」というコードが手違いで2回繰り返されている箇所が見つかった。この余分な1行のために、接続の認証がチェック
「Let's Encrypt」のサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるようにする。 インターネット上の通信を暗号化するTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行する認証局(CA)の「Let's Encrypt」が、MozillaやCisco Systemsといった大手のバックアップで創設された。 TLSを利用するためには、通信相手のサーバが本物であることを認証するための証明書をサーバ運用者が取得する必要がある。しかしこうした証明書は一般的には有料で、正しくインストールするのが難しく、アップデートにも手間がかかるとLet's Encryptは指摘する。 こうした問題を解決するため、Let's Encryptのサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるよう
[asin:4908686009:detail] 最近ふとSSL/TLSの仕組みについて知りたくなったので、「プロフェッショナルSSL/TLS」を読んだ。 かなりいろんな話題を網羅していて、かつ具体的な設定例なども書かれていて良かった。TLSに関する仕事をするときや、SSL/TLSやHTTPS周りで何回かハマったことがあるなら非常にお勧めできる。 仕組みを理解したいなら1章 SSL/TLSと暗号技術・2章 プロトコル・3章 公開鍵基盤が参考になった。実運用なら8章 デプロイ・9章 パフォーマンス最適化・16章 Nginxの設定あたりが参考になりそう。またTLS周りでハマった時のトラブルシューティングには12章のOpenSSLによるテストが使えるだろう。 ただ最新のTLS 1.3に関してはそこまで多く言及はなかった(電子書籍版の巻末の付録のみ)ので、これについては別書籍や別資料で学ぶ必要があ
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
Application Load BalancerがSNIを利用した複数のTLS証明書のスマートセレクションをサポートしました | Amazon Web Services
Amazon Web Services ブログ Application Load BalancerがSNIを利用した複数のTLS証明書のスマートセレクションをサポートしました 本日、我々はApplication Load Balancer (ALB)でServer Name Indication (SNI)を使った複数のTLS/SSL証明書のサポートをリリースしました。これによって、単一のロードバランサの背後に、それぞれ別の証明書を持ったTLSで保護されたセキュアなアプリケーションを複数配置することが可能になります。SNIを利用するためには、複数の証明書をロードバランサの同じセキュアリスナーに紐付ける必要があります。ALBは各クライアントに最適なTLS証明書を自動的に選択します。これらの新機能は追加料金無しでご利用可能です。 もし新しい機能をどうやって使えばいいかを手っ取り早く知りたければ
Management and Automation Drive efficiency and reduce cost using automated certificate management and signing workflows.
一昨年、「インターネットのカタチ」や「マスタリングTCP/IP」を手がけた編集者の鹿野さんが、オーム社を退職して技術書を扱う、ラムダノート株式会社という出版社を起業しました。 鹿野さんの会社が発売する最初の書籍である「プロフェッショナルSSL/TLS」と「RubyでつくるRuby」(参考:書籍『Ruby でつくる Ruby』が発売されます)が今朝発売開始されています。 「プロフェッショナルSSL/TLS」は、TLS(Transport Layer Security)の背景となる理論やプロトコルだけではなく、過去に発生したプロトコル上の脆弱性、運用上の脆弱性、実装上の脆弱性なども解説してあります。Webブラウザの問題も紹介されています。後半は、Apache、Tomcat、IIS、Nginx、などの設定方法の紹介です。 編集者であり技術者な鹿野さん 「プロフェッショナルSSL/TLS」を出版し
TLSについて学んだ - 角待ちは対空
仕事でTLS関連のトラブルがあったが全然基礎知識がなかったので1から学んだ。この記事は特にTLSの仕様を解説したいわけではなくどこを参照してまだかメモっておく。僕が解説するよりそっちを参照したほうが確実。 まずSSLとTLSの違いすらわからないレベルだったのでウィキペディア読んだ。 Transport Layer Security - Wikipedia ウィキペディアがいいのは常に更新されているところで、例えばPOODLE攻撃とか比較的最近のトピックも網羅されている可能性が高い。ウィキペディアで得た知識だけでPOODLE攻撃がわかるかというと微妙だけどインデックスは貼れる。 今回の問題はハンドシェイクに問題があるとわかっていたのでハンドシェイクの詳細が知りたい。ウェブ上の記事だと SSL/TLS(Part.1) (1/3):不正アクセスを防止するSSL/TLS(2) - @IT が一番詳
セキュリティ対策もあって、インターネット上のサーバではSSL/TLSを使って公開するのが当たり前になっています。しかし開発時にはローカルでHTTPを使っていたりしないでしょうか。そのため、設定などを切り替えたりして開発せざるを得ず、さらに公開時には不具合に繋がったりします。 そこで使ってみて欲しいのがmkcertです。ローカル開発環境でもHTTPSを使えるようにするソフトウェアです。 mkcertの使い方 まずインストールを使って証明書をインストールします。 $ mkcert -install 次にドメインを指定して証明書を生成します。 $ mkcert example.com '*.example.org' myapp.dev localhost 127.0.0.1 ::1 そうするとWebブラウザからHTTPS経由でアクセスできます。 mkcertで生成した証明書はApacheやngi
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSLv3脆弱性「POODLE」、TLSにも影響--グーグルの専門家が指摘
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
ACMで管理されているSSL/TLS証明書の自動更新失敗について | DevelopersIO
「TLS 1.3」正式リリース、Firefoxなど主要ブラウザが対応
HTTP/2へのmruby活用やこれからのTLS設定と大量証明書設定の効率化について - 人間とウェブの未来
Template:ウェブブラウザにおけるTLS/SSLの対応状況の変化 - Wikipedia
TLS 1.3 と 0-RTT のこわ〜い話 | BLOG - DeNA Engineering
サーバーのSSL/TLS設定のツボ - Internet Week 2014 セッションS14
SSL/TLSを無料・簡単に、Web全体の暗号化を目指す「Let's Encrypt」発表
SSL (TLS) 対応プロトコルのリスト - Qiita
TLS 1.3 and the Future of Cryptographic Protocols
GolangのSSL/TLS機能は自前実装らしい - sgryjp.log
組み込み技術者向けTLS1.3基礎解説(前編):まずはSSL/TLSについて知ろう
DNSを使ってTLSハンドシェイクを高速化するZTLSについて - ASnoKaze blog
Kernel TLSとSSL_sendfileによるパフォーマンス向上 - NGINX
中国がTLS 1.3とESNIを使用するHTTPSトラフィックをブロック
私が愛した openssl (SSL/TLS 編) - してみんとて
The Illustrated TLS Connection: Every Byte Explained
yebo blog: TLS 1.0に深刻な弱点が見付かる
Let's EncryptとComodoのTLS証明書、96%の詐欺サイトで使用
iOSのSSL/TLS通信傍受の脆弱性は「悪夢」、OS Xにも存在
TLSの普及へサーバ証明書を無料発行、MozillaやCiscoが認証局を創設
「プロフェッショナルSSL/TLS」を読んだ - $shibayu36->blog;
Managing SSL & TLS Certificates | GlobalSign
【書籍】プロフェッショナルSSL/TLS:Geekなぺーじ
mkcert - ローカル開発でもSSL/TLSを MOONGIFT
そのSSL/TLS証明書は大丈夫? Google Chromeからhttpsサイトとして信頼してもらえなくなる場合も!? Symantecのサーバー証明書の件について、DigiCert日本法人に聞いたFAQ的まとめ
