この記事は、2018 年 7 月 19 日付で Mozilla Security Blog に投稿された Introducing the ASan Nightly Project (筆者:decoder)の翻訳です。この翻訳は公式なものではありません。詳しくは こちら をご覧ください。 ユーザの手元へ安定かつ安全な Firef…
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
Forward Secrecyとは 過去の秘密データを守る 暗号化されたデータの盗聴 盗聴されたデータは、SSLで暗号化されていればそのままでは解読されることはありませんが、暗号化する際に使用した鍵が入手できた時のためにそのまま保存されている可能性はあります。 NSA・米国国家安全保障局による盗聴疑惑が話題になりましたが、国家機関であれば暗号化された全インターネットデータも保存することが可能です。 実際に、暗号化鍵が露呈される事件も起こっています。2014年にも、有名なOpenSSLに重大な脆弱性(Heartbleed)が見つかっています。(HeartbleedについてはOpenSSL Heartbleed(心臓出血)脆弱性へのDigiCertの対応をご参照ください。) このような事態が起こった場合、バグフィックスを行ったうえで新しい秘密鍵を設定すれば、それ以降の通信データの安全性は確保で
忘れるからメモという名のコピペ 作成手順 openssl コマンドを使って SSL 自己証明書を作成する。 1. 秘密鍵(server.key)の作成 openssl genrsa -aes256 1024 > server.key 1. 公開鍵(server.csr)の作成 openssl req -new -sha256 -key server.key > server.csr 1. デジタル証明書(server.crt)の作成 openssl x509 -in server.csr -sha256 -days 365 -req -signkey server.key > server.crt 1. Apache の ssl.conf を編集する。
id:blooper:20120907 の続きですが、皆様におかれましては既に証明書が好きで好きでたまらなくなって、HTTPS を利用したサイトに行くと証明書の拡張まで読んだ後でなくては証明書の内容が気になってサイトの本文が読めなくなっているかと思いますが如何お過ごしでしょうか。 SSL は Secure Sockets Layer の頭文字で Netscape Communications が 1995 年に、ってのは wikipedia:Secure_Sockets_Layer でも見れば載ってるので見てね。で、RFC にしようってことで SSL は Netscape のでしょ? ってことで TLS (Transport Layer Security) に改名した、と記憶してるんだけど本当だっけな。ハンドシェイク時のレコードのバージョン見ると SSLv3.0 は 3.0 TLSv1.0
注意 Let's encryptのクライアントがCertbotクライアントに更新されています。 使い方はさほど変わってないようですが新たに利用する人は最新の情報をご確認の上ご利用ください。 AWS EC2上のnginxでLet's Encryptの証明書を取得、更新するための手順をまとめました。 nginxのセットアップ手順などは省略しております。 Let's encryptクライアントをインストールする $ sudo git clone https://github.com/letsencrypt/letsencrypt /usr/local/letsencrypt $ sudo /usr/local/letsencrypt/letsencrypt-auto --help --debug Amazon Linux はまだ正式な取扱ではないため--debugオプションが必要になります。 証
用途にもよりますが、通信の暗号化を目的とするのであれば、ドメイン認証型で十分です。例えば HTTP/2 でWEBサーバを動かすには、事実上SSL/TLSが必須になりますので、そういった用途でも普及しそうですね。 Let's Encrypt の証明書取得方法Let's Encrypt クライアントソフト(コマンド)をインストールして、証明書取得用のコマンドを打つだけです。 冒頭にも書きましたが、Let's Encrypt での証明書取得の手続きは、他の認証局のものと大きく異なります。Let's Encrypt のサイトに行って「CSRを送信する申請フォームはどこだろう?」と探したのは、私だけではないはずです(^^;) 参考までに、一般的なドメイン認証型の証明書発行の流れは、以下の通りです。 (1) 秘密鍵を作成(2) 秘密鍵を元に、CSR(証明書を発行するための署名要求)を生成(3) 認証局
Let's Encrypt は、クライアントソフトウェア「Certbot」を使用することで、SSL/TLS サーバ証明書の取得・更新作業を自動化できる仕組みになっています。 独自ドメインがあれば、簡単なコマンド操作で SSL/TLS 証明書(無料)を取得できます。 ※一般の認証局で SSL/TLS サーバ証明書を取得する場合とは異なり、秘密鍵・公開鍵・署名リクエスト(CSR)を手動で生成する必要はありません。これらの作業は、Certbot クライアントが自動的に行います。 ※Certbot 以外の ACME クライアント (英文) を使用して Let's Encrypt の証明書を取得することも可能です。 より詳しく知りたい方へ このページでは、Certbot クライアント(旧・Let's Encrypt クライアント)のプラグイン Webroot または Standalone を使用して
「Let's Encrypt ユーザーガイド」は、User Guide — Certbot 0.10.0.dev0 documentation の全文を和訳(意訳)した上で、補足説明などを加えたものです。 詳しくは 翻訳記事の出典と留意事項 をご覧ください。 クライアントソフトウェアの名称変更について 「Let's Encrypt クライアント」の名称は、「Certbot クライアント」に変更されました。 それに伴って、letsencrypt-auto が certbot-auto になるなど、ファイル名・ディレクトリ名・コマンド名・URLなども変更されました。 このページの更新履歴 2016年05月07日 letsencrypt-auto を更新して訳注を追加しました(現在は certbot-auto)。 Webroot プラグイン と Standalone プラグイン に詳しい解説を追
Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・
こんにちは、最近あまりWebの話をしていないwakです。IISをあれこれ触ってリハビリをしようと試みていたのですが、同僚がSSL回りで苦しんでいたので復習がてら表題の件を試してみました。 通信の盗み見、改竄、なりすまし、おいしくないカリカリを許さない鋭い視線の猫 1行でまとめると こういう証明書を作成するのが目的です。 まずは基礎知識 SSLの目的と機能 SSLには2つの機能があります。 通信を暗号化して、のぞき見や改竄を防ぐ 通信相手が本物であることを保証する たとえば公衆Wi-Fiに紛れて偽Wi-Fiアクセスポイントを設置した悪者がいたとします。このアクセスポイントは悪者の支配下にありますから、ここに接続してしまった人は全ての通信内容を見られてしまいますし、通信内容は改竄され放題です。「mizuhobank.co.jp」にアクセスしていたつもりなのに、実際にはフィッシングサイトに接続さ
apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH
手順 プライベート認証局(CA)の秘密鍵と公開鍵のペアの作成 サーバ証明書の発行 クライアント証明書の発行 Apacheの設定と起動 MacのWeb共有を有効にする Webサイトにアクセスする プライベート認証局(CA)の秘密鍵と公開鍵のペアの作成 CA.shを使ってCAを構築し、CAの秘密鍵と公開鍵を作成します。 後にSSL証明書を発行するのと、クライアント認証環境で必要になります。 $ sudo su $ cd /System/Library/OpenSSL/ $ ls certs misc openssl.cnf private $ cp misc/CA.sh . $ ./CA.sh -newca CA certificate filename (or enter to create) →リターン Making CA certificate ... Generating a 1024
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く