タグ

関連タグで絞り込む (9)

タグの絞り込みを解除

sslに関するraysatoのブックマーク (14)

  • GlobalSign 失効騒ぎ - どさにっき

    ■ GlobalSign 失効騒ぎ _ 先週 GlobalSign がやらかした障害について 詳細な報告書が出てた。一読してだいたい理解できたけど、字ばっかで図がないのでやっぱりわかりづらい。わかりやすくしてみる。 _ 障害発生前の状態。 +----------+ +--------+ +----------+ | Root(R1) |-----| 中間CA |------| EE証明書 | +----------+ +--------+ +----------+ | +----------+ +---------+ | Root(R2) |-----|crossroot| +----------+ +---------+ EE(エンドエンティティ)証明書ってのはサーバ証明書とかクライアント証明書とかコード署名証明書とか、要するに一般ユーザが買う証明書のこと。通常は EE - 中間 CA

  • 本当は怖いAES-GCMの話 - ぼちぼち日記

    Disclaimer エントリーは、この夏 blackhat usa 2016で行われる予定の講演「NONCE-DISRESPECTING ADVERSARIES: PRACTICAL FORGERY ATTACKS ON GCM IN TLS」 のネタバレを含んでいます。現地で直接聞く方は読まないよう気をつけて下さい。 0. 短いまとめ 今回は短めにと思ったのですが、やっぱりそれなりの分量でした。なので短いまとめを書いておきます。 4千万以上のサイト対してAES-GCM使ったTLS通信の初期ベクトル(IV)データのサーベイが行われ、7万程のサイトでIVの値が再利用される可能性があることがわかりました。IVが再利用された場合、AES-GCMの安全性は致命的な影響を受けます。IVの再利用が判明した幾つか実装から既に脆弱性のアナウンスが出ています。 IVが再利用された場合、現実的にHTTPS

    本当は怖いAES-GCMの話 - ぼちぼち日記

  • Tracking the FREAK Attack

    On Tuesday, March 3, 2015, researchers announced a new SSL/TLS vulnerability called the FREAK attack. It allows an attacker to intercept HTTPS connections between vulnerable clients and servers and force them to use weakened encryption, which the attacker can break to steal or manipulate sensitive data. This site is dedicated to tracking the impact of the attack and helping users test whether they

    Tracking the FREAK Attack
    raysato
    raysato 2015/03/04
    サーバ側はOpenSSLで使用可能であってもApache等の設定で実際に通信で使用するCipherSuiteを制限できます。ここには設定不足なホストが並んでいると思えばOK。古いデフォルト設定そのままで放置とかの可能性。
    リンク

  • 米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚

    インターネットの通信の暗号化に使われているTLS/SSLプロトコルに、1990年代の米国の暗号輸出規制に起因する脆弱性が存在することが分かった。AppleのSafariや、Androidブラウザに使われているOpenSSLなどが影響を受けるとされ、各社が修正パッチの開発を急いでいる。 脆弱性はフランス国立情報学自動制御研究所(INRIA)や米Microsoftなどの研究チームが発見した。「Factoring attack on RSA-EXPORT Keys」を略して「FREAK」と呼ばれている。 研究チームや攻撃の実証にかかわった研究者によると、当時の米NetscapeがSSLを発明した1990年代、米政府は暗号システムに対して厳格な輸出規制をかけており、米国企業が暗号を輸出するためには、暗号鍵の強度を意図的に弱めることが義務付けられていた。RSAの場合、鍵の長さは512ビットが限度だっ

    米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚
    raysato
    raysato 2015/03/04
    OpenSSLでは $ openssl ciphers -v EXPORT で確認できます。使用できるとこんな感じ。 https://gist.github.com/rsato/7e797e0baa213a0f547b
    リンク

  • 無料でSSL使える時代きてた!CloudFlare最高!!!(?) - uzullaがブログ

    しょうもない日記 YAPC行脚、福岡編 - uzullaがブログ とかかいた後になんとなくツイッターをみていたら、あるツイートをみまして。 packagist.jpをcloudflare対応したら、自動的にHTTPS対応できたでござる。すごい。一円も払ってないのに https://t.co/moCiiSwb44— Hiraku (@Hiraku) 2015年2月24日 それでCloudFlare(http://cloudflare.com/)がタダでSSL証明書を用意してくれるようになっていたのを知りました。 Cloudflare Free SSL/TLS | Get SSL Certificates | Cloudflare タダ!なんと甘美な響き! オチ SNIでかまわないなら、CloudFlareをつかえばValidなSSLがタダで利用できる。 SNIとは? NameBaseのVir

    無料でSSL使える時代きてた!CloudFlare最高!!!(?) - uzullaがブログ
    raysato
    raysato 2015/02/25
    リンク

  • 主要ブラウザにおける SSL 3.0 無効化タイミングのまとめ

    SSL 3.0 の脆弱性 (POODLE) の件で、10月に下記の記事を書いたんですが、その中でも触れた、各主要ブラウザにおける SSL 3.0 無効化タイミングだけ、わかりやすいように抜き出してこちらにまとめておこうと思います。メモ代わり。 SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ Internet Explorer SSL 3.0 が無効になる時期: 正式な時期は不明だが、数ヶ月以内 米国時間の 2015年 4月 14日以降、デフォルトで無効に。 「マイクロソフト セキュリティ アドバイザリ 3009008」 内では、下記の通り、(10月 15日から起算して) 数ヶ月以内に IE の既存設定 (および同社のオンラインサービス) で SSL 3.0 が無効になる旨がアナウンスされています。 マイクロソフト

    主要ブラウザにおける SSL 3.0 無効化タイミングのまとめ
    raysato
    raysato 2014/11/13
    NSSについての情報をコメントしておきました。ブラウザのほうが対応が早いですが、他のNSSを使用しているソフトウェアの参考にどうぞ。
    リンク

  • How's My SSL?

    Your SSL client is Probably Okay. Check out the sections below for information about the SSL/TLS client you used to render this page. Yeah, we really mean "TLS", not "SSL". Version Good Your client is using TLS 1.3, the most modern version of the encryption protocol. It gives you access to the fastest, most secure encryption possible on the web. Learn More Ephemeral Key Support Good Ephemeral keys

  • httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita

    課題 サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は?と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSSLの設定 nginxのHTTPS サーバの設定を参考に、たった2行だけどSSLを考えてみる。書き方は違えどもapacheも概念は一緒のはず。

    httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
    raysato
    raysato 2014/03/16
    「SSLだから安全」は×。多くのSSL/TLSを使う製品のデフォルト設定は安全性に十分なマージンを持ってないので注意。さらにブラウザが絡むと、安全性と互換性のトレードオフを見極める必要があります。
    リンク

  • Security/Server Side TLS - MozillaWiki

    The ordering of cipher suites in the Old configuration is very important, as it determines the priority with which algorithms are selected. OpenSSL will ignore cipher suites it doesn't understand, so always use the full set of cipher suites below, in their recommended order. The use of the Old configuration with modern versions of OpenSSL may require custom builds with support for deprecated ciphe

  • SSL/TLS Strong Encryption: How-To - Apache HTTP Server Version 2.2

    Please note This document refers to the 2.2 version of Apache httpd, which is no longer maintained. The active release is documented here. If you have not already upgraded, please follow this link for more information. You may follow this link to go to the current version of this document. The solution to this problem is trivial and is left as an exercise for the reader. -- Standard textbook cooki

  • スマホブラウザのSSL/TLS renegotiation対応の検証メモ

    ■携帯ブラウザのSSL/TLS renegotiation対応の検証メモ とある案件でSSL/TLS renegotiation機能の脆弱性の問題に突き当たったため検証したメモ。問題の内容と対策はこちらのページ( http://blog.abacustech.co.jp/blogx/entry/40 )がとても詳しいので参照。Webアクセスをするブラウザ(クライアント)とサーバの両方が問題に対応している必要があるので注意。対応状況が簡単に確認できる方法はそれぞれ以下。 ※9/27追記 誤解を与えかねないRTがされていたので追記しておきますが、この検証はiOSやWP7のブラウザにSSL/TLS renegotiation機能の脆弱性が残存しているということを意味しません。SSL/TLS renegotiation機能の脆弱性に対してはRFC5746を実装する対処方法と、脆弱性発見当初実施され

  • 1つのインスタンスで240個のSSLサイトをホストしてみた - log4moto

    Instance Types - Amazon Elastic Compute Cloudによれば、m2.4xlargeなどのインスタンスタイプでは 8ENI x 30IPs(/ENI) = 240のIPアドレスを使用する事ができる、とあるので実際に試してみた。 必要な物 EIP上限解除申請 必要な数のEIPを確保するため、250個のEIP上限申請を行った → http://aws.amazon.com/jp/contact-us/vpc-request/ 7つのENIを作成 m2.4xlargeインスタンス(Amazon Linux 2012.09を使用) 240個のEIP取得(こちらのスクリプトで取得しました) 構成を決める VPCを10.1.0.0/16で作成、PublicSubnetを10.1.0.0/24で作成した。インスタンスに振る事のできるPrivateIPアドレスは10.1

    1つのインスタンスで240個のSSLサイトをホストしてみた - log4moto

  • GPUを用いたSSLリバースプロキシの実装について - ゆううきブログ

    近年,汎用計算の高速化のためのアクセラレータとして注目されているGPUを,ネットワーク処理に適用する一環として,サーバサイドのSSL処理に注目した論文を読んだので,内容を軽く紹介します. SSLShader - GPU-accelerated SSL Proxy SSLShader SSLShader: Cheap SSL acceleration with commodity processors Proceedings of the 8th USENIX conference on Networked systems design and implementation 2011 なお,評価に使われた実装の一部のソースコードが公開されています. http://shader.kaist.edu/sslshader/libgpucrypto/ 紹介 背景 SSL(Secure Socket

    GPUを用いたSSLリバースプロキシの実装について - ゆううきブログ

  • Lessons Learned From Previous SSL/TLS Attacks - A Brief Chronology Of Attacks And Weaknesses

    Paper 2013/049 Lessons Learned From Previous SSL/TLS Attacks - A Brief Chronology Of Attacks And Weaknesses Christopher Meyer and Jörg Schwenk Abstract Since its introduction in 1994 the Secure Socket Layer (SSL) protocol (later renamed to Transport Layer Security (TLS)) evolved to the de facto standard for securing the transport layer. SSL/TLS can be used for ensuring data confidentiality, integr

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.