MacのMAMPで作ったローカルのテスト環境をHTTPS化したら、Chromeで「この接続ではプライバシーが保護されません NET::ERR_CERT_INVALID」と表示されてしまった。 困った事に、「詳細設定」を押しても「危険性を理解した上でアクセスする」のオプションがなく、どう頑張ってもテストサイトの画面が見れない...。 こんな時に強制的にスキップしてサイトを表示する方法をメモしておきます。 ChromeのNET::ERR_CERT_INVALIDをスキップする隠しコマンドChromeブラウザのエラーが表示されている画面で、 半角英数モードでthisisunsafeとキーボード入力するだけです。 「え、そんな隠しコマンドあったん?」とビックリしたのですが、騙されたと思って試してみてください。 入力が完了すると、直後に画面が自動的にリロードされ無事にサイトが表示されるようになりまし
TLS 1.3 学習ノート
はじめに これは筆者が TLS 1.3 を学習した時のメモを記事にしたものです。 内容の正確性は担保できませんので、あらかじめご了承ください。 参考にした書籍 プロフェッショナルSSL/TLS (ISBN: 978-4-908686-00-9) ラムダノートでを購入するとダウンロードできる特別版PDFも参照しています 徹底解剖 TLS 1.3 (ISBN: 978-4-7981-7141-8) 参考にしたウェブサイト うるふブログ | wolfSSL Wikipedia IT用語辞典 e-Words TLS とは? TLS は Transport Layer Security の略で、インターネット上で安全に通信を行うためのプロトコルです。 インターネット上で安全に通信を行う必要性 前提として、インターネットはセキュリティが考慮されていません。 もともとインターネットは、大学間で少数のノー
The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.
Android 7.1以前の古いOSでのご利用に関するお知らせと、Androidアプリのサポート対象バージョン変更のお知らせ(追記あり) - はてなブログ開発ブログ
2021/01/04 追記 SSL/TLS証明書の認証局*1による対応が大幅に延期されたことを受け、2021年1月11日に予定しておりましたサポート対象バージョン変更を取り止めさせていただきます。 ただし今後も不定期でサポート対象バージョン変更を行う予定ですので、可能な限り新しいOSバージョンでのご利用をおすすめします。 2020/09/28 追記 SSL/TLS証明書の認証局*2の変更が、2021年1月11日に延期されたため、サポート対象バージョンの変更の実施も、2021年1月11日に延期いたします。 元記事 いつもはてなブログをご利用いただきありがとうございます。 はてなブログで利用しているSSL/TLS証明書の認証局*3の変更が 2020年9月30日に行われる予定です。その結果、Android 7.1以前などの古いOSをお使いの場合に、HTTPS配信を利用しているはてなブログやダッシ
以前、Bunについてざっくり調べたことがある uga-box.hatenablog.com この時からBunについて、特にNode.jsとの違いについて、知る機会があったのでメモ (2022/9/5 追記)ソース元はfurukawaさんがNode学園40限目で話された内容 speakerdeck.com Node.jsの構成要素の一部 Standard Libraries HTTP、File systemとか n-api C++とかCを呼び出すネイティブモジュールの抽象化ライブラリ V8 JavaScript エンジン http-parser HTTP1.1用のパーサー OpenSSL HTTPSとかTLSとかの暗号化周りのライブラリ zlib 圧縮とか解凍とか ng-http2 HTTP2用のライブラリ ng-tcp QUIC用のライブラリ libuv OSによって異なるシステムコールの
無料&オープンな証明書認証局Let's EncryptがDDoS攻撃を受け、約4時間半にわたってサービスのパフォーマンスが低下しました。 Title: Let's Encrypt's performance is currently degraded due to a DDoS attack ????: I know it is a big thing to complain about but why does the whole DNS lookup system require an invalid certificate? Because it seems too easy to get a certificate from a DNS provider that has…— hncynic bot (@hncynic) Let's Encrypt's performance is
Telnetコマンドの替わりにOpenSSLを使う方法
昔のネットワークには欠かせなかったTelnet かつてのネットワーク管理者、HTTPSやSSHが広く普及する前のネットワークでは、Telnetコマンドはなくてはならないコマンドだった。Telnetコマンドは、ネットワークを経由してリモートからホストにログインする方法として使われていた。現在のsshで行うような役割をTelnetは担っていたわけだ。 また、Telnetはリモートログインという用途のみならず、さまざまなサーバに接続して状況を調べるコマンドとしても使われていた。Telnetコマンドを使うと、ホストの任意のサービスに接続してインタラクティブに会話を行うことができる。当然、操作するには対象サービスのプロトコルを手動で入力する必要があるが、トラブルシューティングを行うにはうってつけのツールだった。多少の工夫をすれば、Telnetコマンド経由で対話処理を自動化することもできる。 Teln
ウェブサイトの安全性を支えているHTTPSは、SSL/TLSプロトコルのSSL証明書による認証技術を使用しています。そのSSL証明書を無料で発行しているLet’s Encryptが、これまでに発行したSSL証明書が10億件を超えたと発表しました。 Let's Encrypt Has Issued a Billion Certificates - Let's Encrypt - Free SSL/TLS Certificates https://letsencrypt.org/2020/02/27/one-billion-certs.html SSL証明書を無料で発行することでHTTPSの導入をサポートするLet’s Encryptのこれまでの取り組みについては以下の記事にまとめられています。HTTPSをサポートすることで通信を暗号化することの重要性や、その中でLet’s Encryptが担
様々な組織や団体がTLSを安全に利用するためのドキュメントを出してたりする。 IETFでも2015年にRFC7525 「Recommendations for Secure Use of TLS and DTLS」として、使用する上での推奨事項をまとめている。 それについての詳細は、urushima先生の記事を見ていただくと良いと思う。 blog.livedoor.jp 上記のRFC7525から5年が経ち、その間にRFC 8446 TLS1.3の発行などもありました。そのため、IETFではこのRFC7525の改定作業が開始されました RFC7525bis IETFのUTA (Using TLS in Applications) WGでは、RFC7525の改訂版として、次のドキュメントをすでにWG Itemとして扱っている draft-ietf-uta-rfc7525bis ここでは、簡単に
OpenSSL の脆弱性対策について(CVE-2022-3602、CVE-2022-3786) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
概要 OpenSSL は、SSL および TLS の機能を提供する、オープンソースのライブラリです。 この OpenSSL において、X.509 証明書の検証処理を通じてバッファオーバーフローが発生する脆弱性が確認されています。 本脆弱性が悪用されると、攻撃者が用意した悪意のある証明書によりオーバーフローが引き起こされ、結果としてサービス運用妨害(DoS)や遠隔からのコード実行を行われる可能性があります。 今後被害が拡大する可能性があるため、早急に対策を実施して下さい。 影響を受けるシステム OpenSSL 3.0.7 より前の 3.0 系のバージョン OpenSSL 1.1.1 および 1.0.2 は、この問題の影響を受けません。 対策 1.脆弱性の解消 - アップデートを実施 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンを
GNU Wgetの後継となる「GNU Wget2」の開発チームは9月26日、最新版となる「GNU Wget2 2.0」を公開した。 GNU Wget2はWebサーバーからコンテンツを取得するダウンローダーGNU Wgetの後継で、HTTP、HTTPS、FTP、FTPSを使ってファイルの取得を行う。libwgetを使ってラッピングするようスクラッチから設計し、マルチスレッド対応などの機能を加えた。HTTP2、HTTP圧縮、並列接続、If-Modified-Sinceヘッダ(HTTP)などにより、多くの場合でWget1系よりも高速にダウンロードできるという。ライセンスはGPL v3以上。 バージョン2では、HTTP2アップロードのサポートが加わった。HTML5 ‘download’属性が使用できる–download-attrオプションをサポートしたほか、HTMLダウンロード属性もサポートした。
【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正(1ページ目 / 全1ページ):Security NEXT
OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル(Critical)」を予定していたが、「高(High)」へと下方修正されている。 今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオーバーフローが生じるおそれがある「CVE-2022-3602」。細工された証明書を処理するとサービス拒否が生じたり、リモートよりコードを実行されるおそれがある。 重要度はもっとも高い「クリティカル」との触れ込みだったが、テストの結果や、多くのモダンなプラットフォームではスタックオーバーフローの保護機能など緩和策を備えていることを考慮し、開発チームでは重要度を「高(High)」と1段引き下げた。 また「CVE-2022-3602」とあわせて、同脆弱性の調査時に発見され
人気の高いSSL証明書認証局であるLet's Encryptが使っているルート証明書の有効期限が近づいている。「IdentTrust DST Root CA X3」で認識されるこのルート証明書の有効期限は2021年9月30日、つまり今月いっぱいまでだ。古いルート証明書から新しいルート証明書への移行は完全に透過的だが、実際には過去に問題が発生している。特に古いソフトウェアを使っている場合は注意が必要だ。 IdentTrust DST Root CA X3 セキュリティ研究者であるScott Helme氏は9月21日(英国時間)、「Let's Encrypt's Root Certificate is expiring!」において、今月末でLet's Encryptが使用しているルート証明書が有効期限を迎えることを指摘するとともに、過去の事例などを引き合いにしてどのような問題発生が懸念されるか
Microsoftは8月1日(米国時間)、「TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub」において、2023年9月にビルドを開始する「Windows 11 Insider Preview」において「TLS 1.0」および「TLS 1.1」をデフォルトで無効化すると伝えた。これは近い将来のWindows 11でTLS 1.0およびTLS 1.1がデフォルトで無効化されることを意味している。 TLS 1.0 and TLS 1.1 soon to be disabled in Windows - Microsoft Community Hub TLS (Transport Layer Security) 1.0は1999年に発表、TLS 1.1は2006年に発表された通信プロトコル。暗号
A Rust-based TLS library outperformed OpenSSL in almost every category
A tiny and relatively unknown TLS library written in Rust, an up-and-coming programming language, outperformed the industry-standard OpenSSL in almost every major category. The findings are the result of a recent four-part series of benchmarks [1, 2, 3, 4] carried out by Joseph Birr-Pixton, the developer behind the Rustls library. Benchmark resultsThe findings showed that Rustls was 10% faster whe
Cloud Storageを使ったカスタムドメインでHTTPSのSPA環境を構築する #gcp | DevelopersIO
はじめに こんにちは、中村です。Cloud Storageを使ってカスタムドメインでHTTPSのSPA環境を構築します。今回はRoute53で管理しているドメイン、SSLはGoogleマネージドのSSL証明書を利用します。 Search Consoleでドメインの所有権確認 この操作はGCPと同じGoogleアカウントで行ってください 静的ウェブサイトのホスティングにあたりドメイン名を持つバケットを作成しますのでまずは利用するドメインの所有権確認を行います。Google Search ConsoleでDNSレコードでの所有権の確認の指示を元に実施します。ドメインでドメイン名を入力し続行をクリックします。 表示されるTXTレコードを利用するドメインのDNSプロバイダにて登録し確認をクリックします。 確認トークンが見つからない場合はエラーが表示されます。後ほど確認しましょう。 成功すると下記の
カザフスタンの音楽検索サイト、政府による通信傍受を受けてHTTPSを捨てる投稿者: heatwave_p2p 投稿日: 2019/8/24 TorrentFreakおよそ9年にわたって運営を続けてきた音楽検索エンジン「Slider.kz」が、サイトのシステム変更について非常に珍しい理由を説明している。運営者によると、同サイトがホストされているカザフスタンの法改正により、同国政府がHTTPSトラフィックを傍受するようになったためだという。 この数年、多数の「海賊版」サイトが様々な理由で活動を停止している。 権利者からの圧力に耐えかねてというのが最も一般的だが、それ以外にもホスティングやドメインの問題、時間やリソースの不足などが理由に挙げられることが多い。 だが、Slider.kzは、これまで聞いたことのないような理由を説明している。 Slider.kzは2010年に誕生し、9年間にわたって運
![カザフスタンの音楽検索サイト、政府による通信傍受を受けてHTTPSを捨てる | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/e08090b831e6b31df88279360e30a668f34ad5ef/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2019%2F08%2FKazakhstan_eye_h.jpg)
IISでお手軽!ローカル環境でSSL暗号化通信! - ROBOT PAYMENT TECH-BLOG
はじめに まずはWebサイトの作成 自己署名入り証明書の作成 証明書の設定 さて確認! 感想 はじめに 桜が散り、緑が生い茂り風薫る季節となりました。 皆様いかがお過ごしでしょうか? 決済サービスの開発を担当しております yoponpon と申します。 今回はMicrosoft IISを利用する環境で簡単に自己署名入り証明書を作成してSSL通信有効化する手順について書かせていただければと思います。 サービス開発をしていると、稀にローカル環境でHTTPS接続をして動作確認をしたくなること、また必要に迫られる場面が有るかと思います。手っ取り早い解決手段としては、自己署名入り証明書を作成することかと思うのですが、作成の仕方が面倒だったり、ブラウザ側で認証が通らなかったりなど、多くの壁があるように感じます。 こちらの記事で説明させて頂くのはブラウザ(主にChrome)で問題なく認証が通り画面表示が
こんにちは。SRE2課の福島です。 はじめに ポイント 検証 ①ACMで証明書の発行 ②EC2インスタンスの作成(特定のAMIを利用する。) ③IAMロールの作成 ④③で作成したIAMロールを証明書に関連付け ⑤③で作成したIAMロールにポリシー適用 ⑥②で作成したEC2にIAMロールをアタッチ ⑦Nginxの設定 /etc/nitro_enclaves/acm.yamlの編集 /etc/nginx/nginx.confの編集 終わりに おまけ dry-runが成功したインスタンスタイプ一覧 はじめに 今回は、以下のアップデートを実際に試してみましたので、ブログにまとめたいと思います。 Announcing SSL/TLS certificates for Amazon EC2 instances with AWS Certificate Manager (ACM) for Nitro E
Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。"
HTTPやSSL/TLSに関わるソフトウェアエンジニアは知っておくといい情報なんですけど、 https://t.co/ZcO29mS1P8 というサイトを使うと、期限切れの証明書でのTLSの検証とかが簡単にできていいです。
Let's Encrypt、ルート証明書切り替えに向けて古いAndroidへの対策を呼びかけ | スラド セキュリティ
Let's Encryptがルート証明書の切り替えに向け、古いバージョンのAndroidへの対策をサイトオーナーとユーザーに呼びかけている(Let's Encryptのブログ記事、 The Registerの記事)。 5年前にLet's Encryptが立ち上げられた際にはIdenTrustのクロス署名を得たルート証明書「DST Root X3」を使用することで、メジャーなソフトウェアプラットフォームすべてで信頼される証明書をすぐに発行することが可能だったという。しかし、DST Root X3は2021年9月1日に失効する(ただし、実際に証明書を見ると有効期限は日本時間2021/9/30 23:01:15となっている)。他のCAからクロス署名を得た証明書を使い続けることはリスクが高いため、Let's Encryptでは既に独自のルート証明書「ISRG Root X1」を発行している。このル
Ubuntu 22.04 には OpenSSL 3 しか存在しないため Ruby 3.1 未満のバージョンはビルドできない問題 - HsbtDiary(2022-05-12)
■ Ubuntu 22.04 には OpenSSL 3 しか存在しないため Ruby 3.1 未満のバージョンはビルドできない問題 タイトルが全てなんですが、 Ubuntu 22.04 Jammy には OpenSSL のバージョン 3 しか提供されないので、Ruby 3.1 未満、具体的には 2.7 や 3.0 はビルドできません。 https://bugs.ruby-lang.org/issues/18658 https://github.com/rbenv/ruby-build/pull/1974 独自に OpenSSL 1.1 をビルドしてそれらを --with-openssl-dir で指定すればビルドできますが、それはそれで面倒なので ruby-build で @znz さんがパッチを投げて今揉んでいるという状況です。 また、OpenSSL 3 に対応した openssl ge
インターネットの安全を支えるOpenSSL TLSはインターネットを安全に利用する上で欠かすことのできない重要な要素だ。そして、その実装系のひとつであるOpenSSLは多くのサーバ管理者にとって欠かすことのできないソフトウェアとなっている。 ユーザーの多くはOpenSSLについて気にも留めていないか、パワーユーザーであればOpenSSLを暗号系のライブラリまたはフレームワークといった類のもの、という認識を持っているのではないだろうか。Webサーバの管理者であれば、Webサーバをセットアップする最初の段階で証明書の作成に利用するツールという認識を持っているかもしれない。しかし、OpenSSLはそれだけのソフトウェアではない。 OpenSSLは証明書署名要求や自己署名証明書の生成のみならず、ファイルの暗号化や復号化、証明書の検証や証明書有効期限の確認など、さまざまな機能を提供するコマンドでもあ
不特定多数のウェブサイトにアクセスするアプリケーションを書いていると、ときおり SSL 証明書の検証エラーとなる URL に行き当たることがある。が、確認のためブラウザでアクセスしてみると、普通に見れてしまったりもする。そんな事例のひとつ、タイトルの通り中間CA証明書のないサーバについて。 https://incomplete-chain.badssl.com/ というわかりやすい例がある。これを curl してみると: % docker run -it --rm buildpack-deps:buster bash root@22f1788d53c7:/# curl --version curl 7.64.0 (x86_64-pc-linux-gnu) libcurl/7.64.0 OpenSSL/1.1.1d zlib/1.2.11 libidn2/2.0.5 libpsl/0.20.
AWS IAM Role AnywhereをDocker+OpenSSLのRootCAで試してみる - YOMON8.NET
PKIベースでAWSのIAMロールを使える IAM Role Anywhereが発表されました。早速使えるようだったのでOpenSSLでCA構築して使ってみた手順を残しておきます。 環境汚さないためにDocker使っています。 AWS Identity and Access Management introduces IAM Roles Anywhere for workloads outside of AWS What is AWS Identity and Access Management Roles Anywhere? - IAM Roles Anywhere Extend AWS IAM roles to workloads outside of AWS with IAM Roles Anywhere | AWS Security Blog [HostOS] RootCA用のDo
QUICスタックとTLSライブラリの関係とOpenSSLの状況
図1: TLS over TCP と QUIC のスタック構造の比較はじめにQUICはTLSv1.3に相当するセキュリティを標準装備すると説明されます。図1はよく参照されるスタック構成ですが、TLSがQUICスタックの内部に埋め込まれています。縦に積み上げられた “スタック” になっていません。TLSの埋め込みは何を意味しているのでしょうか?本稿の前半ではTLSとQUICの関係と、TLSライブラリの使われ方をTLS over TCPと比較しながら解説します。後半ではOpenSSLのQUIC対応の状況についてふれます。 なお本稿で処理の流れを追う際は送信を中心に取り上げます。受信についても逆順で同様の処理が必要ですが解説は省略しています。 QUICとTLSv1.3の関係TLSには大きく分けて、ハンドシェイクプロトコルとレコードプロトコルがあります。前者は暗号スイートの調停や鍵交換、各種パラメ
こんにちは、新型コロナウイルス感染症対策のためテレワーク勤務中の山田です。 テレワーク勤務に伴い通勤で運動をしなくなった分、定時後から日の入りまでちょくちょく近くの河川公園を歩いています。 ソーシャルディスタンスを保ちつつ、マスクを防備していますので息苦しいですが仕方ありません... 前置き さて、日本では新型コロナウイルスの話題が飛び交う毎日ですが、コロナの話題が出る1ヶ月ほど前主要ブラウザの「TLS1.0」と「TLS1.1」サポートが終了しようとしていたのは、ご存知でしょうか。 この業界に詳しい方であれば、既に対策済みの方がほどんどではないかと思いますが、新型コロナウイルスの世界的流行に伴い各主要ブラウザは、サポート終了時期が延期もしくは再有効化がなされています。 CentOS5系は、サポート終了しておりますOSになりますため、TLS1.2サポートの対策には6系以降のOSにリプレイスさ
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も | スラド セキュリティ
ストーリー by nagazou 2022年03月15日 16時10分 ますますロシア国外情報にアクセスしにくくなりそう 部門より ロシアが独自のTLS認証局を創設したとの報道が出ている。ロシアは現在、ウクライナ侵略を受けて世界各国からさまざまな制裁を受けているが、欧米の企業や政府による制裁措置により、既存のTLS証明書を更新することができない状況に陥っている。証明書の有効期限が切れてしまえば、ブラウザ側でサイトへのアクセスがブロックされてしまう。このため独自のTLS認証局を創設し、期限切れもしくは無効化された場合の代替となる証明書を無料で発行するとしている(Bleeping Computer、TECH+)。 ロシアの公共サービスポータルである「Gosuslugi」によれば、新たなサービスでは、5営業日以内に証明書を無料サイト所有者である法人に提供するとしている。ただし、こうした新しい認証
M1 MacでRuby 2.4〜3.2をrbenvでビルドする最小限のセットアップを全部調べた|TechRacho by BPS株式会社
🔗 M1 MacでRuby 2.4〜3.2をrbenvでビルドするための要点 要点から先に書きます。 基本的には、以下の公式ドキュメントの記載通りにすればビルドできます。 参考: Building Ruby -- ruby/building_ruby.md at master · ruby/ruby ビルドで使うOpenSSLについては以下に注意してください。 Ruby 3.1以降: OpenSSL 3系とOpenSSL 1.1.1系の両方が使える Ruby 2.4〜3.0: OpenSSL 1.1.1系が必要 ただし、OpenSSL 1.1.1は2023/09/11にEOLとなり、以後のアップデートには有償サポートが必要です↓。特に業務で古いRubyのビルドが必要な場合はご注意ください。 参考: OpenSSL 1.1.1 End of Life - OpenSSL Blog Ruby
Electronic Frontier Foundation 先週、ロシア・デジタル開発通信省は、ロシア市民に政府公認のウェブブラウザをダウンロードするか、ブラウザの基本設定を変更するよう指示した。 こうした変更は、ロシア人が国際的な制裁を受けているウェブサイトや政府系サービスにアクセスするために不可避な側面もある。だが、ロシア政府がサービスを維持するために実施している応急的措置は、現在、そして将来に渡ってロシア市民の監視を可能にしてしまう。極めて憂慮すべき事態である。 ICANNとRIPEは、ロシアのトップレベルドメイン、ドメインネームシステムのルートサーバへのアクセス、IPアドレスの取り消しを求めるウクライナの要請を拒否した。だが、国際的な制裁はロシアのインターネットインフラに大打撃を与えている。ウェブ上のデータセキュリティを支える認証局(Certificate Authorities
![ロシア政府の「信頼されたルート証明機関」を信頼してはならない | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/1358c2bc9b02c047d35f1bfb9110289c46c0e153/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2022%2F03%2Fmalware-shark.png)
こんにちは、技術開発室の滝澤です。 前回(2021年7月)、『TLS証明書チェッカーcheck-tls-certの公開』というエントリーを公開しました。このcheck-tls-certを開発するにあたって、テスト用のPKI(Public Key Infrastructure、公開鍵基盤)を構築しました。 opensslコマンドを利用したPKI用のスクリプトを整備したのですが、開発当時ではOpenSSL 3.0の開発が進んでいることもあり、OpenSSL 3.0でも利用できるようにとドキュメントを読んでみると、「deprecated」(非推奨)の文字が散見されました。そのため、それを踏まえたスクリプトを書きました。この際に得られた知見を本記事で紹介します。 なお、2021年9月7日にOpenSSL 3.0.0がリリースされました。 本記事を1行でまとめると次のようになります。 OpenSSL
JPCERT-AT-2021-0015 JPCERT/CC 2021-03-26(新規) 2021-03-29(更新) I. 概要2021年3月25日(現地時間)、OpenSSL ProjectからOpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する情報が公開されました。OpenSSLには、X.509証明書の検証不備の脆弱性や細工した再ネゴシエーションのメッセージを処理する際にNULLポインタ参照が発生する脆弱性があります。脆弱性が悪用された場合、不正なCA証明書によって検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受けたりする可能性があります。 脆弱性の詳細については、OpenSSL Projectの情報を確認してください。 OpenSSL Project OpenSSL Security Advisory [
TLS 1.0およびTLS 1.1はセキュリティ上、脆弱であると考えられており、多くのベンダが使用停止を進めている。Microsoftも同社のサービスやプロダクトにおいてTLS 1.0および1.1の使用停止を進めている。しかし、この作業は一度に進められているのではなく、サービスやプロダクトごとに個別に進められている。どのサービスでいつ利用できなくなるのか、まとまった情報は公開されていない。 Microsoftはこのほど「TLS 1.0 and 1.1 deprecation - Microsoft Tech Community - 1620264」において、同社のサービスおよびプロダクトにおけるTLS 1.0/1.1サポート廃止のタイムラインを簡単にまとめた情報を公開した。どのサービスがいつサポート廃止となるかを確認できる。 掲載されている主な情報は次のとおり。
Ruby 3.0 がセキュリティメンテナンスフェーズになったのでいくつか補足, snap と all-ruby を更新した - HsbtDiary(2023-03-31)
■ Ruby 3.0 がセキュリティメンテナンスフェーズになったのでいくつか補足 Ruby 3.0 がセキュリティメンテナンスフェーズになったことに合わせて、いくつかサプライチェーン周りで考えておく必要がある事項があるので共有しときます。 Ruby 3.0 は OpenSSL 3.0 対応しないことになった Bug #18658: Need openssl 3 support for Ubuntu 22.04 (Ruby 2.7.x and 3.0.x) - Ruby master - Ruby Issue Tracking System に書いたように、Ruby 3.0 には OpenSSL 3.0 に対応した openssl gem はバックポートされないことになりました。つまり、OpenSSL 3.x しか提供されない Ubuntu 22.04 では Ruby 3.0 はビルドできな
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ChromeのNET::ERR_CERT_INVALIDを強制スキップする方法 - ゆうきのせかい
CVE-2022-21449: Psychic Signatures in Java
【Bun】BunとNode.jsの違いのメモ - UGA Boxxx
無料SSL証明書の「Let’s Encrypt」がDDoS攻撃を受けてパフォーマンスが一時低下
Let’s Encryptが発行したSSL証明書が10億件を突破したと発表、HTTPSの利用は過去3年で急速に増加
「RFC7525: TLSを安全に使うための推奨事項」の改定 - ASnoKaze blog
ダウンローダーGNU Wgetの後継となる「GNU Wget2 2.0」が公開 | OSDN Magazine
「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正
9月末でLet's Encryptルート証明書が期限切れ、古い製品は要注意
Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧
「Firefox」もアドレスバーのEV証明書発行元表示を廃止 ~鍵・盾アイコンの仕様も変更/HTTPS接続は当たり前、HTTP/FTPサイトは危険。「Firefox 70」からアイコンで明示
「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を/不正なCA証明書を受け入れてしまう可能性
「OpenSSL 1.1.1」のサポートまで6カ月を切る ~「OpenSSL 3.0/3.1」への移行を/プレミアムサポート契約を有償で購入することも可能
カザフスタンの音楽検索サイト、政府による通信傍受を受けてHTTPSを捨てる | p2ptk[.]org
ACMの証明書をEC2で利用可能になりました - サーバーワークスエンジニアブログ
「Google Chrome」は独自のルートストアへ ~「Chrome Root Program」の開始が発表/Windows/Macの「Chrome 105」よりロールアウト
OpenSSLコマンドでサーバの証明書情報を確認する4つの方法
中間証明書のないサーバにアクセスする - 詩と創作・思索のひろば
危険な“混合フォーム(mixed forms)”にご用心 ~「Google Chrome 86」から警告措置/セキュアなHTTPSページにも盗聴・改竄の危険があるHTTPで送信するWebフォームが含まれることも
CentOS5のApacheをTLS1.2に対応させてみた - DENET 技術ブログ
ロシア政府の「信頼されたルート証明機関」を信頼してはならない | p2ptk[.]org
OpenSSL 3.0のTLS証明書用プライベート鍵生成方法
OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
Microsoft、TLS 1.0/1.1廃止日一覧を公開
yoikoarinoshinya.hateblo.jp
www.nikkansports.com
anond.hatelabo.jp
detail.chiebukuro.yahoo.co.jp
anond.hatelabo.jp
gendai.media