Wiresharkで観察して理解するHTTPS(HTTP over TLS)の仕組み - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに HTTPS(HTTP Over TLS)とは SSL/TLS HTTPSの流れ 実際に通信を観察 自己署名証明書の用意 サーバーの作成 WireSharkの準備 リクエストを送信して観察 まとめ はじめに エンジニア2年目のTKDSです! 普段何気なく使ってるほとんどのWebサイトが対応しているHTTPS通信の仕組みについて調べてみました。 本記事では、Wiresharkを用いてHTTPSの内部動作を解析し、どのようにしてデータが保護されているのかを具体的に解説します。 記事の後半では、Wiresharkを使って実際の通信データを観察し、暗号化プロセスの詳細を確認してみます。 HTTPS(HTTP Over TLS)とは HTTPS(HTTP Over TLS)は、HTTPの暗号化版で、ウェブサイトとブラウザ間の安全な通信を実現するプロトコルです。 TLSを使用して、HTTP通信
この記事はTLS/SSLを実装してみたいという人が増えるといいな!という気持ちで書いています。実装の詳細は別記事で書こうかと思います。 数年前からいつかTLS/SSLのプロトコルをPHPで実装したいと思い、まずは本で知識を得ようかとラムダノートの「プロフェッショナルSSL/TLS」や 「徹底解剖TLS1.3」を買って読んでみましたが、なかなか頭に入らずに読んでは寝てしまうというパターンに。 やはり自分でTLSを実装してみないとなと思ってたところに、PHPカンファレンス福岡2024で hanhan1978 さんの「PHPでデータベースを作ってみた」を見て大いに刺激をもらい、ついにTLS実装に着手できました。 speakerdeck.com この資料は本当によくて名言の宝庫です。たとえば、 「まじめに作ろうとすると大変な努力が必要になる。もっと迂闊につくりたい」 「不格好でもいいので、動く完成
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス 丸善ジュンク堂書店 ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的
情シス激怒(げきおこ)~ Apple が SSL/TLS 証明書有効期間を短縮提案 | ScanNetSecurity
安全性を高めるため証明書の最大有効期間は年を追って徐々に短くなってきた。2011 年以前は最長で約 8 年だったものが、2020 年には約 13 ヶ月になった。Apple の提案が受け入れられれば、証明書の最大有効期間は 2025 年 9 月から 200 日に短縮され、その 1 年後には 100 日に、そして 2027 年 4 月以降は 45 日まで短くされる。この提案には、ドメイン認証(DCV)の有効期間を段階的に短縮し、2027 年 9 月以降は 10 日にすることも含まれている。
10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 以下に、その内容を紹介する。 Rustlsとは何か? Rustlsは、Rust言語で書かれ、メモリ安全性に優れたTLS(Transport Layer Security)実装である。 Rustlsはすでにプロダクション環境に対応しており、さまざまなアプリケーションで利用されている。C APIとFIPSサポートも備えており、既存のプログ
Go 1.22でTLS通信が失敗する
解決するのに少しハマったので、備忘録としてまとめます。 環境 Go 1.22 Echo v4.12.0 エラーの概要と原因 調査を進めたところ、Go 1.22からのセキュリティ強化が原因で、TLS 1.2以前のRSA暗号スイートがデフォルトから削除されたことがわかりました。 (正確にはECDHEをサポートしない暗号スイートが削除されています) これにより、古いサーバーや互換性のないサーバーとの通信でエラーが発生するようになったのです。 Go 1.22 での仕様変更 Go 1.22 のリリースノートを見ると以下のような記載があります。 crypto/tls ConnectionState.ExportKeyingMaterial will now return an error unless TLS 1.3 is in use, or the extended_master_secret e
TLSやTCPをPHPで実装して人生を学ぶ「3つの層」の話をしました(ぺぱ合戦) - Code Day's Night
2024/11/30に行われた「紅白ぺぱ合戦」で技術LT(?)をしてきました。 connpass.com 紅白ぺぱ合戦は、id:asumiso と id:stefafafan の結婚披露宴(実質)のようなものです。 全体の感想 披露宴はいいですね。100人近く集まった人がいくつかグルーピングされているだけで、基本的には皆がお祝いしたい良いムードでした。幸せな気持ちがあふれている会で、福岡から小田原に行ってよかったと心底感じました。 そーだいさんのキーノートはすごく良かったし、LTガチバトルやBaanGaai LTも、技術あり、笑いあり、良い話ありで最高でしたね。 その後の「マイメン、育てた、育てられた」枠の代表スピーチバトルも、新郎新婦との人生の関わりを通した良い話でした。 司会のお二人もすごく上手く司会をされてて、さらにタイトなスケジュール進行や色々な企画を突発的に整合性合わせて成立させ
Let's Encryptは2024年12月11日(現地時間)、2025年に迎える10周年を前に6日間有効な新しいTLS証明書の提供を開始すると発表した。同社が公開した2024年の年次報告書内で発表されたサービスとされている。 Let's EncryptはWebサイトのHTTPS化を推進する非営利団体のInternet Security Research Group(ISRG)が運営する無料の認証局だ。誰でも無料でSSL/TLS証明書を取得できるよう支援しており、Webサイトの暗号化を手軽に実現できることを目指している。 Let's Encryptが短期証明書を導入、10周年を前に新サービス提供予定 Let's Encryptは2015年のサービス開始以来、90日間有効なTLS証明書を無料で提供し続けてきた。この証明書によってWebサイトのHTTPS対応が容易になり、現在では5億以上のWe
【注意喚起】FreeRADIUSの設定は気を付けないとEAP-TLSに大穴が開く (EAP-TLSを使っていなくても) - hgot07 Hotspot Blog
タイトルの通りなんですが、その昔これを見つけた時はヘンな汗が噴き出ましたよ。 eapol_testを使ったEAP-TLS認証 SUCCESS... (;゚∀゚) 自分はEAP-TLSを使わないからといっても、デフォルトで穴が開くので要注意です。 不具合の内容 以下の条件がすべて満たされているとき、同一CAが発行・署名したクライアント証明書を用いて、第三者によるEAP-TLS認証が成功します。無線LANに不正に接続できたりします。 FreeRADIUSでPEAP, EAP-TTLSなどを使っている。 Public CAから発行されたサーバ証明書を使っている (Let's EncryptでもUPKIでも、何でもよい) EAP-TLSを運用していないのに、その機能が無効になっていない (FreeRADIUSのデフォルト)。 FreeRADIUSの設定ファイル mods-enabled/eap の
ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門
ついSSL/TLS証明書の更新を忘れちゃう人へ――Kubernetesの「cert-manager」で始める証明書管理自動化入門:Cloud Nativeチートシート(29) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、cert-managerを利用したIngressによる自己署名証明書とLet's Encryptで発行した証明書の利用方法を解説し、Gateway APIでcert-managerを利用する方法を紹介する。 もう、手動で証明書を作成、取得、設定する世界には戻れない 今やWeb公開で必須となったSSL(Secure Sockets Layer)/TLS(Transport Layer Security)ですが、素の「Kubernetes」において「Ingress」や「Gateway API」でSSL/T
2024/10/31 に多くの Azure サービスで TLS 1.0 / TLS 1.1 サポートが廃止されるので対応する - しばやん雑記
以下で公開されているアドバイザリー通り、今月末の 10/31 に Azure では全体的に TLS 1.0 と TLS 1.1 のサポートが廃止され、11/01 からは各種 Azure サービスを利用するためには TLS 1.2 以上が必須となります。 対象となるサービスが非常に多いため、影響範囲も広くなりがちですが殆どのケースでは問題ないでしょう。 既に大半のトラフィックは TLS 1.2 が使われているはずですが、TLS 1.2 をサポートしていない古い環境の存在や .NET Framework を使っている場合は明示的に TLS 1.2 を回避する設定が流行った時があるため、いま一度見直しておくのが良さそうです。 一部のサービスでは Azure へのリクエスト時だけではなく、Webhook による Azure から外部へのリクエスト時にも適用されるため、受け側も TLS 1.2 への
* Trying 127.0.0.1:8000... * Connected to localhost (127.0.0.1) port 8000 (#0) * h2h3 [:method: GET] * h2h3 [:path: /] * h2h3 [:scheme: http] * h2h3 [:authority: localhost:8000] * h2h3 [user-agent: curl/7.88.1] * h2h3 [accept: */*] * Using Stream ID: 1 (easy handle 0x561bf2f5dce0) > GET / HTTP/2 > Host: localhost:8000 > user-agent: curl/7.88.1 > accept: */* > < HTTP/2 200 < content-type: text/plai
CDNやDDoS防御などのサービスを提供しているCloudflareが、配信元サーバーへの接続においてSSLおよびTLSが利用可能かどうかを自動で判断する「Automatic SSL/TLSモード」を導入したと発表しました。 Introducing Automatic SSL/TLS: securing and simplifying origin connectivity https://blog.cloudflare.com/introducing-automatic-ssl-tls-securing-and-simplifying-origin-connectivity Cloudflareはユーザーとサーバー間のリバースプロキシとして動作し、世界各地のユーザーからのアクセスを最も近い距離にあるエッジサーバーで処理することで高速な応答を可能にしています。リクエストされたデータがエッジ
GoによるTLS1.3サーバーの実装
はじめに TLSプロトコルの理解を目的として、Go言語によりTLS1.3のフルハンドシェイクのサーバー実装を行いました。この記事では、実装の過程で得た学びをまとめたいと思います。Go言語はTLSをOpenSSLではなく自前で実装しています。暗号処理関連のパッケージが整っているため、TLSプロトコルの仕様に沿った自然な実装がしやすい言語だと思います。 実際に書いたコードはgo-tlsで公開しています。また、同内容はスライドとしてLearning-TLS1.3-with-Go-full.pdfでもまとめています。 暗号処理 TLSの内容に入る前にまず暗号処理の概要について見ていきます。次の3つの性質が重要です: 秘匿性 (Confidentiality) 通信内容が通信相手以外から読み取られないこと 完全性 (Integrity) 通信内容が途中で改ざんされていないこと 正真性 (Authen
ご来店ありがとうございます。『OpenSSLクックブック』改訂と、それを記念した『プロフェッショナルTLS&PKI』電子版の期間限定大特価セール(記事の末尾を参照)のお知らせです。 [5月9日追記]本セールは終了しています 『OpenSSLクックブック』は、OpenSSLのコマンドラインツールについて扱った無償の小冊子で、Ivan Ristić著 ‟ OpenSSL Cookbook ” の翻訳に相当します。‟ OpenSSL Cookbook ” 自体は、TLSとそのエコシステムの全容を解説した ‟ Bulletproof TLS and PKI ” のサンプルチャプターとして公開されている電子書籍であり、OpenSSLの公式サイトにて「OpenSSLでよく使われる機能とコマンドを網羅した内容」と推薦されているものです。‟ Bulletproof TLS and PKI ” の翻訳である
2024年6月16日 (日) に開催されたJJUG CCC Spring 2024ランチセッション(6月16日 (日) 12:00 - 12:45)の発表資料です。
本日、すべてのリージョンで、オープンソースの Redis バージョン 6 以上と互換性のある Amazon ElastiCache でサポートされる最小 TLS バージョンを 1.2 に更新します。この更新は、セキュリティ、コンプライアンス、および規制要件を満たすのに役立つように設計されています。 Amazon ElastiCache は、ネットワーク上で転送中のデータを保護するために使用されるTransport Layer Security (TLS) 暗号化プロトコルをサポートしています。TLS バージョン 1.0 と 1.1 はセキュリティのベストプラクティスとして推奨されなくなりました。これまでは、古い、または更新が難しいクライアントを使用しているお客様に対して下位互換性を維持するために、これらをサポートしてきました。ElastiCache は 2025 年 5 月 8 日まで T
Apple:有効期間短縮の提案 2024/10/10に、AppleのClint Wison氏が以下のCABFのBaseline Requirements改訂案(Ballot SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods)を提案した。 TLSサーバー証明書の最大有効期間を398日から45日に短縮する内容。 賛否両論あり、多くの書き込みが行われている状況である。 Expand Section 4.2.1 to detail allowed data reuse periods for validation data (both for domains/IPs and for everything else in 3.2) Overall reduction of non-SAN validation
背景 AWSのインフラ構築をしている ALBのセキュリティポリシーを変更しTLS1.0、1.1を無効化する案件があった 設定変更の効果確認のため、TLS1.0、1.1でアクセスして、ALBでブロックされることを確認したい ALBのセキュリティポリシーについて コマンド例 TLSバージョンを指定するオプション --tls-max <TLSバージョン> TLSバージョンの上限を指定するオプションです。 上限を低いバージョンに指定することでALBのセキュリティポリシーがサポートしていないバージョンのリクエストがブロックされるか確認できる。 curlのドキュメントはこちら 注意事項 --tlsv1.0のように似たようなオプションがあります。指定する内容は全く異なる、というか正反対なので混同しないようにすること。 このオプションは、TLSバージョンの下限を指定するオプションです。 コマンド実行結果サ
みなさん、どうやって nginx.conf を書いてますか。 私は DigitalOcean のジェネレーターを使う方法が最も好きです。 さてここで、TLS関係の設定が多数生成されますよね。でも、それぞれ何を設定しているのでしょうか? http { # SSL ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites ssl_dhparam /etc/nginx/dhparam.pem; # Mozilla Intermediate configuration ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub - lexiforest/curl_cffi: Python binding for curl-impersonate fork via cffi. A http client that can impersonate browser tls/ja3/http2 fingerprints.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
信頼しているCAをネゴシエーションする TLS Trust Anchor Negotiation のメモ - ASnoKaze blog
IETFのTLS WGでは、Googleの方らによって提案されている『TLS Trust Anchor Negotiation』という仕組みが議論されています。 これは、クライアントとサーバ側で共に信頼できるCA(トラストアンカー)をネゴシエーションし、複数あるサーバ証明書から適切なものを提供できるようにする仕組みです。 (引用: IETF 120 スライド PDF より) 具体的な提案仕様よりも、explainer を読むのが分かりやすい。自分用に軽く目を通しておく https://github.com/davidben/tls-trust-expressions/blob/main/explainer.md 目次 背景 目標 実現案 Trust Expressions Trust Anchor Identifiers 背景 現状、クライアントがどのCAを信頼しているか伝えず、サーバ側は
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
迂闊にTLS/SSLをPHPで実装してみたら最高だった件 - Code Day's Night
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現
Microsoft、「TLS 1.0」「TLS 1.1」対応を終了 ~2024年10月31日以降、利用不可/「TLS 1.2」またはそれ以降の利用を義務付け
「Google Chrome 131」が正式版に ~オンデバイスOCRで紙をスキャンしたPDFでもテキスト選択/セキュリティ関連の修正は全12件、コンプラ違反の「Entrust」のTLS証明書は不信任に
Let's Encrypt 6日間有効な新TLS証明書の提供開始を発表
【Go】h2c で TLS なしの HTTP/2 サーバーをつくる
「OpenSSL 3.3」が予定通りリリース ~QUIC接続のサポートを強化/SSL/TLSプロトコルを実装したオープンソースライブラリ
Cloudflareが自動SSL/TLSモードを導入、オリジンサーバーへの接続モードを自動で選定可能に
『OpenSSLクックブック』改訂と『プロフェッショナルTLS&PKI』電子版セールのお知らせ
Kubernetes でもJava アプリでTLS 接続を終端したい
Amazon ElastiCache が TLS の最小バージョンを 1.2 に更新
AppleがTLSサーバー証明書の有効期間を45日間に短縮することを提案
curlコマンドでTLSバージョンを指定する方法 - Qiita
TLSの基本を理解したい(よくあるnginx.confを例に)
GitHub - djc/pyrtls: rustls-based modern TLS for Python