Site unavailable. If you're the owner, email us on support@ghost.org
![Site unavailable](https://cdn-ak-scissors.b.st-hatena.com/image/square/65f62d90b91dd7f37dfc51f1aa6537848ab6610a/height=288;version=1;width=512/https%3A%2F%2Fwww.techprowd.com%2Fcontent%2Fimages%2F2020%2F09%2Fkubernetes_lets_encrypt.png)
現行のACMEv1を使ったLet's Encryptのお話。 (https://letsencrypt.org) V1は終わりましたが、V2でも概ね同じです。一応V2はひとつ制限が追加されてます、追記の3を参照。 個人が手持ちのドメインで利用するにはあまり気にすることもないですが、何度も証明書を発行しようとすると制限に引っかかってくることがあります。 https://letsencrypt.org/docs/rate-limits/ 先日Encryptを少し多めにLet'sした機会があったので、その時に色々気を使ったことをまとめておきます。 Let's Encryptにかかる制限(rate-limits) といっても、(ドメインの所有さえ確認できれば)ACMEの仕様としてかかる制限はありません。 ほとんどはACMEのプロバイダによる、証明書の発行やそれにまつわるリクエストへの量的な制限とな
Let’s EncryptやACMEプロトコルによるDV証明書取得の自動化に伴い、証明書の取得と設定が簡単になってきました。 一方で、ACMEをツール化したものが増えるに従って、ACMEってそもそもどういう動きになっているのか、とか、自分たちの用途でどういう使い方がありえるのかとかが余計にわかりにくくなってきており、どこまで自動化できるかもよくわからない場合が多いのではないでしょうか。 そこで、 ドメインとAレコードの紐付けさえしていれば、最初のアクセス時に自動で証明書をとってきて、HTTPS通信にできないか というような、いわゆる FastCertificate 的な動きを実現したいと考え、ACMEの通信の中で各種処理を別のスクリプトでhookできるdehydratedとngx_mrubyを応用して実現可否も含めてPoCを実装してみました。 ※ FastContainerという考え方につ
ssl_certificate_by_lua* ディレクティブを使用することで、証明書を動的に読み込ませることが可能です。 例 クライアントから送られてきた ClientHello の SNI 拡張に含まれているサーバ名に対応する証明書を読み込んでいます。 対応する証明書が見つからない場合は ServerHello を返さずに、Internal Error (80) のアラートが返ります。 http { lua_shared_dict certs 10m; server { listen 10443 ssl; ssl_protocols TLSv1.2; ssl_certificate certs/www.example.com.pem; ssl_certificate_key certs/www.example.com.key; ssl_session_tickets on; ssl_s
curlでcurl: (51) SSL: certificate verification failed (result: 5)が出る時の対処法 August 5, 2015 OS X Yosemite 10.10.4 curl: (51) SSL: certificate verification failed (result: 5) 🙏 ruby -ropenssl -e "p OpenSSL::X509::DEFAULT_CERT_FILE" "/usr/local/etc/openssl/cert.pem" 🙏 🙏 🙏 cd /usr/local/etc/openssl/ 🙏 🙏 curl -O http://curl.haxx.se/ca/cacert.pem % Total % Received % Xferd Average Speed Time Time Tim
Mozilla SSL Configuration Generator Redirecting to the updated SSL Configuration Generator…
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
認証付きのDocker Private registryを立てる DockerHub(Public registry)を使えない場合は,Private Registryを立てる必要がある.DockerはPrivate registry用のDockerイメージを提供しているため,コンテナを立てるだけですぐに使い始めることができる. $ docker run -p 5000:5000 registry $ docker push docker-private.com:5000/test-image:latest ただ,これだとURLを知っていれば誰でも好きにイメージをpushできてしまうので,認証を行う必要がある.認証には,Dockerクライアント(docker login)が対応しているBasic認証を利用する.Docker registryには認証機構がないため,nginxやApacheを
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに本人確認のメールが届くので、受信したメールのa
WebサーバとWebブラウザ間の通信を暗号化するためにはSSLと呼ばれるプロトコルを使用して通信を行います。このとき重要な役割をはたすのが、SSLサーバ証明書です。このSSLサーバ証明書、安いものは年間3000円程度のものから、高いものでは年間20万円程度のものまで様々です。根拠を提示せず「安い証明書で十分」という人もいます。本当にそうでしょうか?SSLサーバ証明書を選択する際の参考になればと思い、少し長くなりますがまとめてみました。 インターネット黎明期もっともポピュラーであったSSLサーバ証明書はVeriSignのSSLサーバ証明書でした。VeriSignはSSLサーバ証明書に加えWebサイト用のシール(VeriSign Secure Seal)を提供していました。このシールをクリックすると、SSLサーバ証明書の詳細情報をわかりやすく説明しており実在証明が容易に確認することが可能でした
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く