Let's encryptとSSL/TLSに関する誤謬 - Chienomi
全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。 その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat
Let’s EncryptのSSL証明書で、安全なウェブサイトを公開 | さくらのナレッジ
安全なウェブサイトを公開するため、無料で利用可能な Let's Encrypt の証明書を使う方法をご紹介します。Let's Encrypt の背景とSSL証明書の自動発行をはじめ、CentOS 7 上の Nginx ウェブサーバを SSL に対応する方法、そして、証明書を自動更新する方法を見ていきましょう(所要時間10~20分)。 なお、Let's Encrypt については既に中津川さんの記事「すべてのWebサイトの暗号化を目指すLet's Encryptを試す」で取り上げられていますが、今回は新しいクライアント certbot-auto を使う方法や、証明書の自動更新の仕方をとりあげます。 こんにちは!こんにちは! みなさん、はじめまして。さくらインターネットの前佛雅人(ぜんぶつまさひと)です。さくらのナレッジに何か書け(業務命令)ということで、皆さんがサーバをより活用できるよう、ナ
有効期限切れになる前に!RakeタスクでSSL証明書を更新する方法 | POSTD
数週間前に、他の主要なサイトの証明書と一緒に StripeのSSL証明書が無効になりました 。 それらのサイト の証明書が有効期限切れになったわけではなく、認証局のルート証明書の有効期限が切れてしまったのです。これは起こってはならないことですが、他の恐ろしいことがそうであるように、起こってほしくないときにむしろ発生してしまうものです。 サービスプロバイダの証明書が有効期限切れになることに対しては、それを防ぐための対策として自分でできることはあまりありません。しかし、自分の証明書が有効期限切れになることに対しては前もって対策を立てることができます。大きなポイントとしては、スケジュールとプロセスを確立することです。 スケジュール これは簡単にできます。”SSL証明書をチェックする”というカレンダエントリが毎月自動更新されるように設定するだけです。そしてカレンダエントリが上がってきたら、自分のW
FacebookやTwitterがIE経由で繋がらない原因と対処法 | パソコン実践BLOG -道すがら講堂-
ここ最近、「FacebookとTwitterに繋がらなくなった」という話を多く耳にしています。 奇妙なのは、パソコンからインターネットエクスプローラーを介す場合のみ出る症状ということ。 2014年10月14日、グーグルのセキュリティチームがネットワーク上で使用される暗号化技術「SSL3.0」に深刻な脆弱性があると報告しました。この脆弱性を突かれた攻撃を受けると暗号が破られてしまう危険があります。 つまり、インターネットを利用している皆さんの個人情報の安全性に関わってくる問題であることを言っています。 グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明 – CNET Japan http://japan.cnet.com/news/service/35055155/ 上記サイトで詳細に解説されていますが、「SSL 3.0」という暗号は非常に古いにも関わらず様々なサイト
主要ブラウザにおける SSL 3.0 無効化タイミングのまとめ
SSL 3.0 の脆弱性 (POODLE) の件で、10月に下記の記事を書いたんですが、その中でも触れた、各主要ブラウザにおける SSL 3.0 無効化タイミングだけ、わかりやすいように抜き出してこちらにまとめておこうと思います。メモ代わり。 SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ Internet Explorer SSL 3.0 が無効になる時期: 正式な時期は不明だが、数ヶ月以内 米国時間の 2015年 4月 14日以降、デフォルトで無効に。 「マイクロソフト セキュリティ アドバイザリ 3009008」 内では、下記の通り、(10月 15日から起算して) 数ヶ月以内に IE の既存設定 (および同社のオンラインサービス) で SSL 3.0 が無効になる旨がアナウンスされています。 マイクロソフト
OpenSSL の脆弱性 (Heartbleed Bug) に関連して、SSL サーバ証明書を再発行した件
先日、この Blog でも書きましたが、OpenSSL に脆弱性が見つかった件に関連して、自分のところで運用しているサーバで使用中の SSL サーバ証明書を再発行したので、その手順などをメモ。 ちなみに、私が使用しているのは Rapid-SSL さんなので、証明書再発行手続きの方法などは SSL サーバ証明書の発行元によって異なります。 なんで SSL サーバ証明書の再発行をするの? OpenSSL の脆弱性 (Heartbleed Bug) によって、攻撃者は 「SSL サーバ証明書」 の秘密鍵 (Private Key) を手に入れる可能性もありました。入手した秘密鍵を悪用することで、攻撃者は暗号通信を解読して盗聴を行ったり、不正な SSL サーバ証明書を発行することも可能です。 Heartbleed Bug は 2年以上前から存在していた (公表以前から気がついて黙っていた人がいるか
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
カードローンの審査って?
日々の暮らしの中で急なお金の不足に見舞われた時、銀行や消費者金融が提供してくれるキャッシングサービスは極めて利便性高くお金の不足を埋め合わせてくれるものです。中でも数あるキャッシング(お金を借りる)方法の中でもカードローンはスピーディーかつフレキシブルに融資してくれる手法として有名です。 カードローンとは、一枚の個人専用カードを発行することにより、それを手にして身近なATMからいつでも融資金をキャッシングできるというもの。融資限度額の範囲内であれば幾らでも何度でもお金を引き出せるので、その都度に応じた効果を発揮してくれます。しかしながらこの金融サービスを利用するには然るべき審査を受けねばなりません。 カードローンの審査は通常、窓口や自動契約機、インターネットなどで氏名、年齢、職業、勤務先、年収などを記載することで申請を行いますが、その情報を受けて金融機関では入念な審査が行われます。特に信用
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - hengkiardo/express-enforces-ssl: Enforces SSL for Node.js ExpressJS projects