以前、MAMPでSSLを設定した際には手間のかかるプロセスを経てサーバー証明書と鍵を作成したんですが、mkcertというローカル環境に認証局(CA)をインストールするコマンドラインツールを使うと一瞬で作成できました。 鍵をしっかり管理しないとセキュリティリスクになるので注意が必要ですが、ローカル開発環境でSSLを手軽に設定できるめちゃくちゃありがたいツールです。 以下、mkcertでサーバー証明書と鍵を作って、MAMP 6.3のApache 2.4に設定するところまでをご紹介します。 Macのバージョンなど 以下の環境で設定、動作確認を行いました。 macOS Big Sur 11.2.2(Mac mini, M1 2020) MAMP 6.3 mkcert 1.4.3(Homebrew 3.0.4でインストール) 証明書と鍵の作成の設定 1. mkcertのインストール Homebrew
はじめに SoftwareDesign 8月号のDNS特集にて記事を書かせていただきました。みんな買ってね。 で、実は最初に書いてた原稿はもっと長かったんですけど、紙幅の都合で一部の内容については掲載を見送りました。せっかく書いたのに捨てるのはもったいないので、先日おこなわれたDNS Summer Day 2022で発表しようかと準備してたんですが、途中で気が変わって違う内容になりました。そんなわけで、最終的にエンジニアブログにて供養します。加筆修正しまくっているので元の原稿の気配はもはや残り香程度に漂うだけですが。 ACMEでdns-01チャレンジ サーバ証明書を無料かつ自動で取得できるサービスとして有名なものにLet’s Encryptがありますが、Let’s Encryptの仕組みはLet’s Encrypt独自のものではありません。ACME (RFC8555)として標準化されていて
2021_browser_mitm_vuln.md LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021) 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示していない脆弱性情報なども含みますが、公益を意図しています。 概要 2020年の年末に、スマホ向けのLunascapeとSleipnirに対して、以下の問題を脆弱性として報告した。 入力途中も含む検索キーワードが、平文で開発元または検索サービスのサーバーに送られる。 利用者が閲覧しようとしたURLが、平文で開発元または検索サービスのサーバーに送られる経路がある。(閲覧URL全部送られたりするわけではない) 2021年の1月に修正されて、修正内容
SSLサーバー証明書は2年物を買うべきではない 今日の今日、今の今知ったことですが、たくさんの人に知られるべきだと思ってまとめます。サーバー証明書を購入する時、たいてい「1年」「2年」が選べると思います。更新作業は面倒なので、2年を選びたくなる方がいらっしゃると思いますが、この「2年」に大きな落とし穴があります。端的に言えば「1年」を購入するべきです。 その理由は、AppleのSafariにあります。 その理由 下記の記事を見てください。 ssl.sakura.ad.jp AppleがSafariブラウザにおいて、2020年9月よりSSL証明書の最大有効期間を398日に短縮すると発表しました。突然発表された本対応の経緯やその影響、私たちがこれから取るべき対策についてご紹介します。 Appleの発表は2020/3/3です。もう一か月も経過するのに結構誰も知らないのではないかと思います。最近の
なんと、SSLサーバー証明書を2年の有効期限で更新すると、iPhoneで接続できなくなる予定があるのだという。2020年9月からの変更点だが、全サイト管理者が把握しておくべき動きだ。 また今回は、サイト側で新型コロナウイルス感染症(COVID-19)対策として行えることの情報を2点、紹介している: 新型コロナウイルスに関するお知らせを検索結果に掲載する機能をグーグルが開始イベントが「オンライン開催」「延期」「中止」になったら構造化データにも反映しようほかにも、MFI、SEO思考、共用サーバーの同居サイト、HTTPS/HTTP混合コンテンツのインデックス、Search Console新機能などなど、今週もSEOに関する情報をまとめてお届けする。 今さら聞けない? モバイルファーストインデックスって何だっけ?【再確認】2020年9月からのMFI強制移行、日本語アナウンスも出ましたSEOの成功に
Google Chromeチームは5月2日(米国時間)、「Chromium Blog: An Update on the Lock Icon」において、2023年9月にリリースを予定している「Google Chrome 117」からアドレスバーにおける南京錠アイコンの表示を廃止すると伝えた。代わりに「調整」を意味するアイコンを表示すると説明している。 Chromium Blog: An Update on the Lock Icon アドレスバーの南京錠アイコンはWebブラウザがHTTPSで通信を行っていることを示すものとして導入された。通信の多くがHTTPで行われていた時代、傍受を防ぎやすいHTTPSが使われていることを示すために南京錠のアイコンが導入された。導入当初このアイコンは役割を果たしたが、現在この意味は失われはじめていると点をGoogleは指摘している。 Googleは次の2つ
Vercel@rauchg|April 21, 2020 (4y ago)47,540 views Also available in: English. 訳註: Next.jsの生みの親の一人で、Vercel社のCEOを務める@rauchgによる記事の翻訳です。原文はこちら。訳者はVercelのエンジニアであり、ハンス・ロスリングほか著『FACTFULNESS』の共訳者でもある上杉周作(@chibicode)。ちなみに、Vercel社はこのたび社名をZEITから改名しました。公式発表はこちら。 本日、私達は社名をVercelに改め、2100万ドルの資金調達を実施したことを公表しました。資金調達においては、錚々たる顔ぶれのVC(Accel、CRV)や個人投資家の方々(Jordan Walke、Nat Friedman、Pete Hunt、Jessie Frazelle、Soleio、Nav
今後Safariで起きること Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。 このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。 具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。 購入済み
Analytics cookies are off for visitors from the UK or EEA unless they click Accept or submit a form on nginx.com. They’re on by default for everybody else. Follow the instructions here to deactivate analytics cookies. This deactivation will work even if you later click Accept or submit a form. Check this box so we and our advertising and social media partners can use cookies on nginx.com to better
私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。 問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。 公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020
そもそもHTTP/2やHTTP/3とは何か? HTTP/2やHTTP/3とは、例えばあなたが今利用しているパソコンと、本コラムのデータが保存されているサーバーとの通信をやり取りするための「ルール」のようなものです。HTTP/3では、HTTP/2よりも通信効率が上がりWebサイトの表示速度が速くなると言われています。「HTTP/2」について知りたい方は、当コラムの『「HTTP/2」とは?あなたのサイトを高速化する次世代プロトコルに迫る』をご覧ください。 「SSLコラムなのにどうしてHTTP/3の記事を書いているんだろう?」と思う方もいるかもしれませんが、「HTTP/3」はSSL/TLSの利用が前提となっているため、SSLサーバー証明書(以下、SSL証明書)とは切っても切れない関係なのです。さて、本題に戻りますが「本当にWebサイトの表示が速くなるの?」「どうして速くなるの?」「対応を検討した
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) SSL/TLS証明書(以下証明書)には証明書の監視や監査を行って証明書の信頼性を高める「Certificate Transparency(証明書の透明性;以下CT)」という仕組みがあります。 Certificate Transparency : Certificate Transparency CAが証明書を発行する際には、パブリックなCTログサーバーに発行履歴を登録し、ログサーバーから受け取った署名付きのタイムスタンプ(SCT;Signed Certificate Timestamp)を埋め込んだ証明書を発行します(埋め込まない方法も有り)。 ブラウザは証明書に埋め込まれたSCTを確認し、存在しなければ証明書を不正とみなします(ブラウザによ
オミータです。ツイッターで人工知能のことや他媒体の記事など を紹介していますので、人工知能のことをもっと知りたい方などは @omiita_atiimoをご覧ください! 他にも次のような記事を書いていますので興味があればぜひ! わずか1%のラベルでImageNet高精度「SimCLR」解説 出きたてホヤホヤ!最新オプティマイザー「AdaBelief」を解説! 画像認識の大革命。AI界で話題爆発中の「Vision Transformer」を解説! 新たな活性化関数「FReLU」誕生&解説! 自然言語処理の王様「BERT」の論文を徹底解説 2021/02/28 SimCLRのバッチサイズに関する記述を修正 2020年に大きく盛り上がりを見せた分野に自己教師あり学習(=Self-Supervised Learning(SSL))があります。SSLとは名前の通り自分で教師を用意するような手法で、デー
無料でウェブサーバー向けのSSL/TLS証明書を発行している認証局Let's Encryptは、自身を信頼していない端末にも信頼される証明書を発行できるようにIdenTrustからクロス署名を受けていましたが、Let's Encryptを信頼する端末が増加したことを受けて、2024年にIdenTrustからのクロス署名を廃止すると発表しました。 Shortening the Let's Encrypt Chain of Trust - Let's Encrypt https://letsencrypt.org/2023/07/10/cross-sign-expiration.html SSL/TLSを使うと、通信において「通信相手が偽物にすり替わっていないか」「途中でデータが改ざんされていないか」などを確認できたり、通信内容を暗号化することで盗聴されるのを防止できたりするというメリットがあ
2020/060/01 追記 nginx公式版が提供されました。こちらを御覧ください asnokaze.hatenablog.com NginxをHTTP/3対応させるパッチがCloudflareから提供されました (CloudflareのHTTP/3ライブラリ Quicheを利用しています。現状ではHTTP/3ドラフト23版の対応になります) github.com 基本的に、書いてるとおりにやればビルドできるのですが、無事HTTP/3しゃべるところまで確認できました ビルド rustインストールしておく $ curl https://sh.rustup.rs -sSf | sh $ source $HOME/.cargo/env書いてあるとおり $ curl -O https://nginx.org/download/nginx-1.16.1.tar.gz $ tar xzvf ngin
ウェブサーバーとして有名なソフトウェアはApacheやnginxですが、設定が難しいと感じる人も少なくないはず。Google発のプログラミング言語「Go」で開発された「Caddy」は、最低限の設定でSSLによる暗号化やHTTP/3での通信も可能なウェブサーバーです。 Caddy 2 https://caddyserver.com/v2 CaddyはUbuntuやCentOSなどのLinuxで利用可能。今回はUbuntu 18.04にCaddyをインストールしてみます。 下記コマンドを実行すれば、Caddyをインストールすることができます。 echo "deb [trusted=yes] https://apt.fury.io/caddy/ /" \ | sudo tee -a /etc/apt/sources.list.d/caddy-fury.list sudo apt update s
wolfSSLをもとに、SSL/TLSの正しい利用法と仕組みを理解する 暗号化された安全な通信は、ネットワークを使う全てのアプリケーションにとって、 考慮すべき重要な課題です。 セキュアな通信を実現するために用いられる技術SSL/TLSの最新版がTLS 1.3であり 各種SSLライブラリも対応してきています。 ただ、ライブラリだけが最新のものになっても、仕組みを知り、 正しく使わなければ、安全は担保されません。 そこで本書は、そんなTLS 1.3の基礎的なプロトコルの流れから、 暗号化・認証の仕組み、アプリケーション実装のベストプラクティスを 組み込みシステム向けの軽量&高機能なライブラリwolfSSLを例に 解説していきます。 さらに、ライブラリコードの解説を含め、内部実装にまで踏み込んだ解説も行い、 SSLライブラリを徹底的に理解できる一冊です。 Part 1:TLSの技術 ・Chap
同根のバグレポートが散見されますが、ここ数ヶ月、状況をみるに修正される見込みがなさそうなので記録しておきます。 事象 MySQL 5.7 の libmysqlclient (libmysqlclient.so.20) を使用しているプロセスが、無限ループに突入して CPU (user%) を食いつぶし続ける。 PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 28150 hirose31 20 0 32488 6080 5492 R 93.8 0.3 0:16.70 mysql 発現条件 MySQLが提供しているパッケージのMySQL 5.7.25, 5.7.26, 5.7.27 で確認。 Ubuntu 18.10, mysql-community-client 5.7.25-1ubuntu18.10 Ubuntu 18.04, m
こんにちは、初心者向けシリーズです。 今回はAWSの無料SSL証明書サービス”Certificate Manager”をELBに設定してみようと思います! そもそもSSL証明書とは? SSLとは、ブラウザとウェブサーバ間でデータの暗号化をする仕組みのことです。 インターネット上で送受信される個人情報や、クレジットカード情報等を暗号化して通信を行うことで、盗聴や情報改ざんを防ぐ役割を持っています。 SSL証明書が適用されてるサイトはHTTPSで通信されることになり、URLの頭に「https://~」と、鍵マークが表示されます。 認証レベル(方式)により、3タイプに分かれます。 ドメイン認証 個人・法人で発行可能。問い合わせフォーム等の各種フォームやイントラネット等で利用がおすすめ。 企業認証 法人のみ発行可能。個人情報やクレジットカード等の入力が必要なサイトにおすすめ。 EV認証 法人のみ発
2023/09/19 追記 Azure ChatGPTからAzure Chatと名称が変更になり、大幅なアップデートが有りました。本ブログの情報は古くなっているため、詳しくは下記を参照ください。 https://blog.cloudnative.co.jp/20412/ 三行まとめ Microsoft謹製のエンタープライズ向けのPrivate ChatGPTをローカルマシン(M2 Macbook Pro)で動かしてみました 2023年8月4日現在、ドキュメントが少なく、ローカル環境でとりあえず動かすまでがなかなか大変。サクッとは動かせない まだリリースされたばかりで、日本語入力周りに不具合を抱えていますが、今後の改良に期待 Azure ChatGPTとは Microsoft謹製のAzure OpenAIを利用したエンタープライズ向けのPrivate ChatGPTです https://gi
先日のDevelopers.IO 2019 TOKYOのランチ時に出てきたお弁当の中身が、実質1/2白米という半ライス状態だった事に驚きを隠せませんでした。え?半ライスってそういう事じゃなく? ▲ でも美味しかった 「うーん……白米とおいなりさんで米がダブってしまった」と脳内で呟いていた、AWS事業本部のShirotaです。ご飯に甘いもの、と聞くとちょっと気後れしてしまいますがおいなりさんは大好きです。 2020年3月5日、RDSで利用しているSSL/TLS証明書が期限を迎えます さて、見出しの通り 2020年3月5日 、現行のRDSで利用されているSSL/TLS証明書(CA証明書)が期限を迎えます。 現行のCA証明書は rds-ca-2015 となっている筈で、RDSのコンソールの「Connectivity& security」欄から確認できます。 この証明書の期限が切れる為、AWSでは
こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発生して通信ができなくなってしまいました。 OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=error: dh key too small) それも、本番環境でのみ発生します。 始めはこのエラーについてよく理解しておらず、 http.verify_mode = OpenSSL::SSL::VERIFY_NONE を指定してみたり、 apt install ca-certificate
AWS Client VPN はリモートアクセスVPNを実現するためのAWSサービスです。 クライアントPCから AWSの各種リソースに安全にアクセスすることができます。 さて、実際に AWS Client VPNの作業手順などを調べてみると、 サーバー/クライアント証明書 や プライベートキー 、 認証局 などといった用語 がどんどん出てきます。 これらは全て AWS Client VPNに必要な要素です。 が、 これらがどのように関わり合って AWS Client VPNを実現しているのか はこれら手順を読んでも、中々理解するのは難しいものがあります。 そこで本記事は AWS Client VPNの中心技術である SSL について主に解説してみます。 SSLで使用される サーバー証明書 や 認証局 などがどんな役割を持つのかを理解していただき、 AWS Client VPN(SSL-V
はじめに 今回は、IIJ Engineers Blog編集部より、IIJ社内の雰囲気が少し垣間見えるような記事をお送りします。 IIJの社内掲示板では、エンジニアのちょっとした技術ネタが好評となって多くのコメントが付いたり、お役立ち情報が掲載されています。 そんな書き込みを眺めては、 「社内だけに留めておくのはもったいない。きっとこういった情報を欲している人もいるはず!」 と思い、編集部が社内掲示板からチョイスしたものを記事にしてみました。 今回紹介するのは「手軽にファイルを暗号化 - openssl cms」 手軽にファイルを暗号化する手法のひとつとして openssl cms を紹介します。 どうぞご覧ください! みなさん、機密情報を USB メモリを介して受け渡したり、ネットワークを介してコピーしたいとき、どうやって暗号化していますか? “gpg” を思い付いたあなた。エントロピーが
やまゆです。 現在 TLS の実装として一番に挙げられるライブラリは OpenSSL 1.1 ですね。 他に Google fork の BoringSSL や LibreSSL などがありますが、もともとはどちらも OpenSSL の実装をベースにしていますので、やはり大元としては OpenSSL になります。 執筆現在の OpenSSL 安定板バージョンは 1.1.1l です。 2.x はリリースされず 3.0 が次のリリースになる予定です。 このツイートによると、 来週火曜 に正式リリースされるようです。 追記 2021/09/07) OpenSSL 3.0.0 がリリースされました! こちらの記事から変更点について挙げていきます。 ライセンスの変更。今までは OpenSSL と SSLeay のデュアルライセンスでしたが、 Apache License 2.0 に変更されます。 バ
SSH3 is a complete revisit of the SSH protocol, mapping its semantics on top of the HTTP mechanisms. It comes from our research work and we (researchers) recently proposed it as an Internet-Draft (draft-michel-ssh3-00). In a nutshell, SSH3 uses QUIC+TLS1.3 for secure channel establishment and the HTTP Authorization mechanisms for user authentication. Among others, SSH3 allows the following improve
マシュー・ダガンのブログより。 デンマークに住む元エクスパットの私は、FaceTimeオーディオをよく使います。使い方が簡単で信頼性が高いだけでなく、音質も素晴らしいです。固定電話を覚えている人にとっては、良いヘッドセットがあれば固定電話を思い出すことでしょう。私たちが携帯電話サービスに切り替えたとき、音質は大きな打撃を受けましたが、最近のVoIP家庭用電話でも問題は改善されていません。そのため、母とFaceTimeオーディオで話していると、まるで母が部屋にいるかのような高音質で、1週間に何度もかかってくる電話と比べて、その存在感は際立っています。 では、Appleはどのようにこれを実現しているのでしょうか? システム管理者としてキャリアを積んできた者としては、技術的な課題を考えると計り知れないものがあります。私たちは、ISPレベルと家庭レベルの両方で、様々なレベルのネットワークの抽象化を
はじめに 『プロフェッショナルTLS&PKI改題第2版(原題: Bulletproof TLS and PKI Second Edition)』が出版されました。今回は出版前のレビューには参加していませんが、発売直後にラムダノートさんから献本をいただきました。ありがとうございます(そのためタイトルにPRを入れてます)。原著のサイトでは前バージョンとのDiffが公開されており、今回は翻訳の確認を兼ねて更新部分を重点的に読みました。このエントリーでは、改訂版のアップデート部分がどのようなもので、今後どう学んだらよいかということを中心に書いてみたいと思います。 短いまとめ: HTTPSへの安全意識が高まっている今だからこそ『プロフェッショナルTLS&PKI』を読みましょう。 長文注意!: 書いているうちに非常に長文(1万字以上)になってしまったので、長文が苦手な方は、GPT-4要約(400字)を
デジタル庁が12月20日に公開した「新型コロナワクチン接種証明書アプリ」で、通信内容のデータが見られてしまうというツイートが話題になった。投稿者は該当ツイートを削除しているが、同庁はツイートについて把握しており、触れられている内容については「問題ない」との認識を示した。 投稿の内容は、同アプリの通信解析を試みたユーザーによる「アプリがサーバ証明書を確認せずに情報送信しているから、SSLインスペクション(暗号化通信の復号)で送受信データが読めてしまう」というもの。しかし、このツイートに対し「ピンニングをしていないだけでは」との指摘が相次いだ。 ピンニングとは、特定の証明書のみに限定して通信するもので、一時期はセキュリティに対して効果があるとされていたが、近年では別のリスク面からピンニングしないケースも多いようだ。同アプリはピンニングせずに通信しているが、アプリの送信データ自体は暗号化されてい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く