by Sean MacEntee HTTPは長年にわたりウェブページのコンテンツの送受信に使われてきましたが、近年ではより安全な通信プロトコルであるHTTPSへの切り替えが進んでいます。2021年4月にリリースされる予定の「Chrome 90」では、アドレスバーからウェブサイトへアクセスする際にデフォルトで「https://」に接続するようになると、Chrome開発チームがブログで発表しました。 Chromium Blog: A safer default for navigation: HTTPS https://blog.chromium.org/2021/03/a-safer-default-for-navigation-https.html 人々がウェブサイトにアクセスする際、検索ワードを打ち込んで検索結果画面に表示される候補のウェブサイトから選ぶこともあれば、アドレスバーにURL
OpenSSL warns of critical security vulnerability with upcoming patch
So we should all be concerned that Mark Cox, a Red Hat Distinguished Software Engineer and the Apache Software Foundation (ASF)'s VP of Security, this week tweeted, "OpenSSL 3.0.7 update to fix Critical CVE out next Tuesday 1300-1700UTC." How bad is "Critical"? According to OpenSSL, an issue of critical severity affects common configurations and is also likely exploitable. It's likely to be abused
The ZAP Homepage
Zed Attack Proxy (ZAP) The world’s most widely used web app scanner. Free and open source. Actively maintained by a dedicated international team of volunteers. A GitHub Top 1000 project. Quick Start Guide Download Now Intro to ZAP If you are new to security testing, then ZAP has you very much in mind. Check out our ZAP in Ten video series to learn more! Automate with ZAP ZAP provides range of opti
本記事は2022年10月31日に公開した英語ブログNew OpenSSL critical vulnerability: What you need to knowを日本語化した内容です。 ※日本語ブログ注記:リリース後、日本時間の2022年11月2日(水)に内容を一部更新しました。 ※最新情報に関するブログと、この脆弱性に関する解説記事のリンクを下記に記載しました。 2022年10月25日、OpenSSL プロジェクトは、重大なセキュリティ脆弱性に対処するために、 OpenSSL (バージョン 3.0.7) を近日中にリリースすることを発表しました。 この脆弱性(1つではなく2つありました)は2022年11月1日(火)に公開され、OpenSSLプロジェクトは問題点と修正の詳細を記したブログを公開しました。この脆弱性と、なぜ「クリティカル(Critical)」から「高(High)」に下がっ
Google Analytics の代替候補、シンプルな機能と画面が特徴のオープンソース、セルフホスティング型アクセス解析 「Umami」 を さくらの VPS (Ubuntu 20.04) を使用して立ち上げてみたというお話。 Web サイトのアクセス解析において、Google Analytics を利用しているというケースは多いと思います。私がお仕事で Web サイトの構築をお手伝いする場合でも、ほぼ 100% といっていい確率で、Google Analytics 導入してくださいっていう話になりますし、まぁ確かに無料であれだけの機能が使えれば便利ですから使わない理由はないですよね。 とはいえ、アクセス解析って導入は簡単なんですけど、実際に活用できるかっていうとまた別の話で、実際に導入した後でたま~に月のアクセス数だけ見て終わり、何も活用できてませんなんて人も多いんじゃないでしょうか。
スロバキアのブラチスラヴァで行われたCA/Browser Forumにおいて、Appleは、2020年9月1日から、サーバ証明書の最大有効期限を398日以内に制限すると発表したと、digicertが伝えている。 Googleによって、サーバ証明書の有効期間を現行の最長825日(2年3カ月)から397日(13カ月)に短縮するよう提案されたが、Apple、Microsoftなどの賛成票があったものの、可決に必要なCAの3分の2以上の賛成が得られなかったことで否決されている。 ただ、この要件を一方的に実装し、ルートストアの信頼できるCAによって発行された証明書にコンプライアンスを要求することは可能で、Apple広報は「ユーザーを保護する」を理由として挙げたという。 2020年8月31日から398日を超える有効期間を持つパブリックSSL/TLSサーバ証明書は発行できなくなる。 2020年9月1日よ
【セキュリティ ニュース】「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処(1ページ目 / 全2ページ):Security NEXT
「TLS 1.2」以前において、「Diffie-Hellman(DH)鍵交換」を利用している場合に、暗号化された通信が解読可能となる攻撃手法「Raccoon Attack」が明らかとなった。マイクロソフトは、9月の月例パッチで対処しており、「OpenSSL」やF5の「BIG-IP」の旧バージョンなども影響を受けるという。 「TLS 1.2」以前において「DH鍵交換」を利用している場合に、中間者攻撃によって「TLSハンドシェイク」における「プリマスターシークレット」を特定することが可能となる脆弱性が明らかとなったもの。 ルール大学ボーフムやテルアビブ大学、パーダーボルン大学などの研究者が発表した。攻撃手法は「Raccoon Attack」と名付けられている。特に頭文字などより名付けられたわけではなく、ロゴには「Raccoon」が意味するアライグマがあしらわれている。 同脆弱性では、複数のTL
Linuxのkernel TLSでnginxのSSL_sendfileを試してみた · hnakamur's blog
2021-10-31 はじめに OpenSSLのSSL_sendfileとパッチを当てたnginxでLinuxのkTLSを試してみた · hnakamur’s blog を書いてから1年半経って状況が変わっていたので再度試してみました。 9日前に SSL: SSL_sendfile() support with kernel TLS. · nginx/nginx@1fc61b7 で Linux の kernel TLS を使って sendfile するコードが nginx に入っていました。 コミットメッセージによると enable-tls オプションを有効にした OpenSSL 3.0 が必要とのことです。 検証環境 $ cat /etc/os-release | grep ^VERSION= VERSION="20.04.3 LTS (Focal Fossa)" $ uname -r
OpenSSLに無限ループの脆弱性、アップデートを
OpenSSLプロジェクトチームは3月15日、「OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-2022-0778)」において、OpenSSLに処理が無限ループに陥る脆弱性が存在すると伝えた。深刻度は重要(High)と評価されており注意が必要。すでに問題に対処したバージョンが公開されていることから、該当するバージョンを使用している場合はアップデートを適用することが望まれる。 OpenSSL Security Advisory [15 March 2022] - Infinite loop in BN_mod_sqrt() reachable when parsing certificates (CVE-202
前半で述べたように、OpenSSLのAEAD暗号器は、長いAEADブロックの処理を前提に作られています。平文の暗号化処理においては理論上の上限にあたる速度を叩き出す一方、事前処理と事後処理、および呼出オーバーヘッドについては、あまり最適化が図られているとは言えません。これは、AEAD暗号の主な使用用途が、これまでTLSという長いAEADブロックを使う(ことが一般的な)プロトコルであったことを反映していると言えるでしょう。 一方、QUICにおいては、UDPパケット毎に独立した、短いAEADブロックを暗号化する必要があり、したがって、次のような速度向上の機会があることが分かります。 AEAD処理をひとつの関数にまとめ、事前処理と事後処理を、パイプライン化されスティッチングされた暗号処理と並行に走らせることができれば、AEADブロックが短くても、理論値に近いスループットを発揮するような、AES-
2022年4月13日、SSL/TLSプロトコルのSSL証明書を発行する非営利団体のLet's Encryptが、実世界の暗号化への多大な貢献を称える「レブチン賞」を受賞したことを明らかにしました。 Let’s Encrypt Receives the Levchin Prize for Real-World Cryptography - Let's Encrypt https://letsencrypt.org/2022/04/13/receiving-the-levchin-prize.html Let's Encryptは証明書を無料で発行している非営利団体。発行プロセスがすべて自動化されていることが特徴で、電子フロンティア財団やMozilla Foundationなどから支援を受け、2016年のサービス開始以来2億6000万のウェブサイトにサービスを提供しています。 今回Let's
Googleは2020年9月1日以降に発行されるTLSサーバ証明書について、有効期間を398日以下に短縮する方針を示した。既に同様の変更を表明しているAppleやMozillaに追随する措置だ。これで証明書の有効期間を13カ月とする措置が主要Webブラウザで出そろうことになり、Webサイト運営者は証明書更新の際に対応が必要になる。
はじめに クラウド全盛の昨今ですが、あえてクラウド化に逆らうセルフホスティングの話をします。クラウドに任せるのではなく、自分のサーバの中に自分で使うwebサービスを建てる、そういうおはなしです。 Self-hosting (web services) - Wikipedia 今回はそんなself-hostingにおすすめのwebアプリケーションをドドーンと紹介します。 計算機の歴史は常に振り子でした。 集中処理と分散処理、逐次処理と並列処理、同期処理と非同期処理、RISCとCISC... これらは決して排他的に対立するということもなく適材適所にするものですが、どちらが主流かというのは時代のトレンドとともに振り子のように揺れ動いてきました。 「クラウドとオンプレ」「所有と非所有」というのもまたその一つですね。 利点と欠点 まず利点はなんといっても、自分のデータを自分の手元においておけることで
全HTTPSサイトに衝撃! SSLサーバー証明書の有効期限は13か月以下にしなきゃiPhoneでエラーに!?【海外&国内SEO情報ウォッチ】
Web担当者Forum の連載コラム、「海外&国内SEO情報ウォッチ」を更新しました。 今週のピックアップはこちらです。 全HTTPSサイトに衝撃! SSLサーバー証明書の有効期限は13か月以下にしなきゃiPhoneでエラーに!? 新型コロナウイルスに関するお知らせを検索結果に掲載する機能をグーグルが開始 イベントが「オンライン開催」「延期」「中止」になったら構造化データにも反映しよう ほかにも、ウェブサイト運営や SEO に役立つ、次のような情報を取り上げました。 今さら聞けない? モバイルファーストインデックスって何だっけ? 【再確認】2020年9月からのMFI強制移行、日本語アナウンスも出ました SEOの成功に必要不可欠な思考×10+2 同じサーバーをSEOスパム屋が使っていると、自分もスパム扱いされちゃわない? グーグル、data-vocabulary.orgのサポートを4月6日に
警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?(大元隆志) - エキスパート - Yahoo!ニュース
警察庁は27日、庁内の端末1台が外部から不正アクセスを受けていたと発表した。報道内容からは、2019年8月から今月中旬まで46回、複数のIPアドレスから不正アクセスがあったという。 ■Fortinet-SSLVPNの脆弱性CVE-2018-13379を利用か? 実は、先日伝えた「Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。」で公開されたIPアドレスの一つに警察庁のものが含まれていた。 これを発見した筆者は、24日に警視庁の「不正アクセスに関する情報提供」から警察庁のIPが含まれていたことを通知。翌25日に警視庁から反応があった。 毎日新聞には「25日に警視庁から「不正アクセスを受けているのではないか」と情報提供があり、発覚した。」とあり、時系列的には一致している。 また、Fortinet-SSLVPNの脆弱性CVE-2018-1337
OpenSSL openssl at openssl.org Tue Sep 7 12:04:20 UTC 2021 Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 OpenSSL version 3.0.0 released ============================== OpenSSL - The Open Source toolkit for SSL/TLS https://www.openssl.org/ The OpenSSL project team is pleased to announce the release of version 3.0.0 of our open source t
About upcoming limits on trusted certificates - Apple Support
About upcoming limits on trusted certificates In our ongoing efforts to improve web security for our users, Apple is reducing the maximum allowed lifetimes of TLS server certificates. What's changing TLS server certificates issued on or after September 1, 2020 00:00 GMT/UTC must not have a validity period greater than 398 days. This change will affect only TLS server certificates issued from the R
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
CDNやDDoS防御などのサービスを提供しているCloudflareが、配信元サーバーへの接続においてSSLおよびTLSが利用可能かどうかを自動で判断する「Automatic SSL/TLSモード」を導入したと発表しました。 Introducing Automatic SSL/TLS: securing and simplifying origin connectivity https://blog.cloudflare.com/introducing-automatic-ssl-tls-securing-and-simplifying-origin-connectivity Cloudflareはユーザーとサーバー間のリバースプロキシとして動作し、世界各地のユーザーからのアクセスを最も近い距離にあるエッジサーバーで処理することで高速な応答を可能にしています。リクエストされたデータがエッジ
Revoking certain certificates on March 4 - Help - Let's Encrypt Community Support
[Update 2020-03-05: The most up-to-date summary is at 2020.02.29 CAA Rechecking Bug] Due to the 2020.02.29 CAA Rechecking Bug, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have contact information. This post and thread will collect answers to frequently asked questions about this revocation, and how to avoid problems by r
証明書発行までの認証プロセス概要図 EVは細かい審査があるので、安心感がありますね。一方、ドメイン認証は実在確認していないので、運用者が実在するか確認していないですね。(認証局によってはドメイン認証でも実在確認しているところもあると思います。) SSLサーバ証明書のオプション 上記の種類の他にオプションがあります。 ワイルドカード 同一のドメイン配下の複数の異なるサブドメインに利用できるSSL証明書。 コモンネームに「*.example.com」を指定することで「www.example.com」や「api.example.com」、「admin.example.com」といったサブドメインが異なるサイトを1枚の証明書でカバーすることができる証明書です。 「*.example.com」で発行されている場合、「example.com」と「*.example.com」がSubject Alter
Dropboxで「セキュリティで保護されたインターネット接続を確立できません」と表示される | 30代未経験ネットワークエンジニアのblog
Dropboxの同期が失敗して困っている。shinです。 今回は、この前直面したトラブルについての対処法の備忘録です。 私は普段Dropboxを使って自分のパソコンのファイルを同期しているのですが、2020年の12月に入ってからDropboxのアイコンが赤くなっていることに気付きました。 エラーメッセージを見てみると「セキュリティで保護されたインターネット接続を確立できません」と出てきていました。 何のエラーなのかと色々調べてみましたが、イマイチドンピシャなものが見つかりません。 なのでとりあえずエラーメッセージをよく考えてみたところ、もしかしたら現在利用しているウイルスソフト(ESET)がDropbox社とのHTTPSの通信をほどいてチェックしている(証明書の発行者がESET SSL Filter CAとなっている)のでこれが原因なのかなと考えました。 というわけで、まずはESETのHT
Shortening the Let's Encrypt Chain of Trust - Let's Encrypt
When Let’s Encrypt first launched, we needed to ensure that our certificates were widely trusted. To that end, we arranged to have our intermediate certificates cross-signed by IdenTrust’s DST Root CA X3. This meant that all certificates issued by those intermediates would be trusted, even while our own ISRG Root X1 wasn’t yet. During subsequent years, our Root X1 became widely trusted on its own.
Research indicates that carbon dioxide removal plans will not be enough to meet Paris treaty goals
はじめに Certbot を使った SSL/TLS サーバ証明書の取得方法を紹介します. 認証局は Let's Encrypt で, 主要なブラウザから信頼された認証局とみなされています. 料金は無料, 作業時間は3分程度です. 前提 証明書を発行する際, 認証局は発行依頼主が対象ドメインを所有していることを確認する必要があります. Let's Encrypt は対象ドメインの特定のパスから検証用のファイルをダウンロードし, その中身を検証することでドメイン所有の確認を行なっています. この Let's Encrypt とのやりとりや検証用ファイルの用意を行うのが Certbot です. そのため, 作業は証明書を設置したいサーバ上で実施する必要があります. また, そのサーバ上で ウェブサーバが稼働しており, 対象のドメインで HTTP 接続できる必要があります. 例えば, demo.s
Let’s EncryptによるSSLサーバー証明書の取得、自動更新設定(2021年3月版) | 稲葉サーバーデザイン
北海道札幌市在住、サーバー専門のフリーランスエンジニアです。クラウドサービスを利用してWebサイト、ITシステムのサーバー構成設計とサーバー構築を行います。 1. はじめに 2019年1月に「Let’s EncryptによるSSLサーバー証明書の取得、自動更新設定(2019年1月版)」という記事を書きました。 最近、証明書を取得、更新するためのcertbotコマンドの推奨インストール方法が変わりましたので、2021年3月版としてまとめ直します。 なお、以下の設定手順は、サーバーOSはCentOS 7で、2021年3月時点のものです。 Apache, Nginxについては、Let’s Encryptに関わる設定のみ記載し、Let’s Encryptに無関係な基本的な設定は、ここでは記載しません。 コマンドはrootユーザーで実行する想定です。 必要に応じて、sudoに置き換えてください。 (
mysql2 インストール時に 「ld: library not found for -limported_openssl」が表示された場合の対応 - fkm_y' log
ローカルのRails開発環境を構築するときにハマったので対応方法を記しておく。 mysql2が修正されるまでハマる人が多そうなので手助けになれば! 追記(2019/12/09) 現在は Homebrew の mysql@5.6 の修正が完了しているようです。 ld: library not found for -limported_openssl on macOS 10.14.6 · Issue #1074 · brianmario/mysql2 · GitHub 前提情報 環境はこんな感じ MacOS Mojave Rails@5.1.6 Ruby@2.5.0 MySQL@5.6.46 遭遇してたこと 10/15頃にbundle install にて mysql2 をインストールしようとすると以下のエラーが発生してコケていた。 railsの環境構築で必要な他の対応は済んでいたんだけど、
#!/usr/bin/env bash # https://superuser.com/questions/109213/how-do-i-list-the-ssl-tls-cipher-suites-a-particular-website-offers # OpenSSL requires the port number. SERVER=192.168.33.10:443 DELAY=0 ciphers=$(openssl-1.1.0f ciphers 'ALL:eNULL' | sed -e 's/:/ /g') echo Obtaining cipher list from $(openssl version). for cipher in ${ciphers[@]} do echo -n Testing $cipher... result=$(echo -n | openssl-
Amazon RDS now supports new SSL/TLS certificates and certificate controls
Amazon Relational Database Service (Amazon RDS) has new certificate authorities with 40 year and 100 year validity. SSL/TLS certificates enable secure communication between your clients and databases. Administrators can control which certificate their organization uses by setting a default certificate per account with a choice of RSA 2048, RSA4096, and ECC384. When provisioning and modifying a dat
opensslを使用してChromeで使える自己署名証明書(オレオレ証明書)を作成する方法を解説します。 また、簡単に生成できるツールも用意しました。よければご活用下さい(dockerが必要です) 発端 ローカル環境でhttpsを実現するために、オレオレ(自己署名)SSL証明書を作成したのですがchromeではNET::ERR_CERT_COMMON_NAME_INVALIDとなってしまいました。 原因は、Chromeの仕様変更により、ドメイン名のチェックをCommon Name(通称CN)ではなくSubject Alternative Names(通称SAN)を参考にする様になったためだそうです。 ここではSubject Alternative Namesを含んだ自己署名サーバ証明書の作り方を解説します。 (追記) 自己署名証明書を作成するツールを作りました。 self-sign-cer
The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation | Datadog Security Labs
emerging vulnerabilities The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation November 1, 2022 emerging vulnerability On November 1, 2022, the OpenSSL Project released a security advisory detailing a high-severity vulnerability in the OpenSSL library. Deployments of OpenSSL from 3.0.0 to 3.0.6 (included) are vulnerable and are fixed in version 3.0.
You should prepare for the OpenSSL 3.x secvuln Published on 10/28/2022, 1156 words, 5 minutes to read cityscape, dark, red and black, monotone, black sky, smoke, tokyo - Waifu Diffusion v1.3 (float16) Hoooo boy, 2022 keeps delivering. It seems that the latest way things are getting fun is that the OpenSSL project announced a "CRITICAL" patch coming on tuesday for every release of OpenSSL that star
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
![第834回 Unboundでお手軽に家庭内DNSサーバーを作ろう[Ubuntu 24.04 LTS対応版] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/5a3d627876f00cb8e66167afde9073898d91f595/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2022%2F1902_ubuntu-recipe.png)
Chrome 90ではアドレスバーからウェブサイトへ接続する際にデフォルトで「https://」を使用する
脆弱性を修正した「OpenSSL 3.0.7」が予告通り公開 ~ただし、深刻度評価は引き下げ/リモートから任意コードを実行される可能性のある欠陥2件
「OpenSSL」v1.1.0iが公開 ~NULLポインター参照の脆弱性に対処/DoS攻撃を受ける可能性があり、深刻度は“高”
OpenSSL に深刻度の高い脆弱性が新たに発見、この脆弱性について今知っておくべきこと - Qiita
OpenSSL Security Advisory : CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)
さくらの VPS を使用してオープンソースのアクセス解析ツール 「Umami」 をホストしてみる
Apple、9月1日からサーバ証明書の最大有効期間を13カ月に制限
「Google Chrome 105」が正式版に ~独自のルートストアへ移行、Chromeアプリには警告メッセージ/深刻度「Critical」1件を含む多数の脆弱性にも対処
QUICむけにAES-GCM実装を最適化した話 (2/2)
SSL証明書を無料で発行するLet’s Encryptが実世界の暗号化貢献をたたえる「レブチン賞」を受賞
「OpenSSL 3.3」が予定通りリリース ~QUIC接続のサポートを強化/SSL/TLSプロトコルを実装したオープンソースライブラリ
TLSサーバ証明書の最大有効期間、13カ月に短縮 GoogleやMozillaもAppleに追随
「Google Chrome」のアドレスバー左に表示される鍵アイコンが廃止へ/9割が「サイトの安全を示す」と誤解、現在はフィッシングサイトでも表示されてしまう
「OpenSSL 3.0.0」が公開 ~ライセンスは「Apache License 2.0」に/新しいFIPSモジュールが組み込まれる
クラウドから撤退して自前サーバに自分でwebアプリを建てるおはなし - Qiita
OpenSSL version 3.0.0 published
ナビゲーションの安全なデフォルト: HTTPS
LTSのはずの「Node.js 16」のサポート期間が7カ月短縮 ~2023年9月11日までに/「OpenSSL 1.1.1」のサポート終了に合わせた措置
Cloudflareが自動SSL/TLSモードを導入、オリジンサーバーへの接続モードを自動で選定可能に
【初心者向け】SSLサーバ証明書の選び方 | DevelopersIO
Engadget | Technology News & Reviews
Certbot を使い3分で無料の SSL 証明書を取得する | DevelopersIO
nginx : ssl_dhparamの有り無しでの挙動の違い - Qiita
Chromeで使えるオレオレ証明書を作成する方法 - Qiita
You should prepare for the OpenSSL 3.x secvuln
www.tworabbitsbrewing.com
marika0.px.ebb.jp
x.com
esse-online.jp
emi5.oa.gob.jp
www.nikkei.com