あなたのサイト、実はSSL化が不十分かも?ユーザーとサービスを本当に正しく保護する方法 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
こんにちは、バックエンドエンジニアの Kaz です。 今回は Web サイトとユーザーを保護する「 SSL 」をテーマに、 正しくサイトの強制 SSL 化を行って、すべての通信、ユーザーとサービスを保護しよう というお話をします。 暗号化だけじゃない!?SSLが保護するもう一つの安全機能 まず今回のお話の大前提といて、SSL を使って何を保護できるのかを知る必要があります。 通信の暗号化 よく知られているものでは「通信の暗号化」というものがあります。これはユーザーが使っている Web ブラウザーアプリケーション( Google Chrome や Safari など)と、Web サイトを提供している事業者側の Web サーバーの間の通信を暗号化し、第三者に そのままでは 通信を覗き見られないようにするものです。 インターネットは仕組み上、通信途中で多数の第三者のサーバーを経由しながらさまざま
WordPress をさらに安全にするための HTTP セキュリティヘッダーまとめ – Capital P – WordPressメディア
今年になってから常時 SSL が本格的に普及し始めました。 この流れは誰もがインターネットを安全に利用できるようにしようという趣旨なんですが、来訪者の安全を守るためにみなさんが対策可能なことは他にもたくさんあります。 ここで紹介する各種のレスポンスヘッダーは、もし XSS などの脆弱性があった場合でも、来訪者がその影響をうけないように、このサイトはこういうポリシーでできてるから、それにマッチしないコンテンツは実行しないで!とあらかじめ来訪者のブラウザにお知らせすることで、来訪者の安全を守るためのものです。 根本的には、WordPress をつねに最新版に保つ、プラグインやテーマは信頼できるものを使用するなどの一般的な対策が別途必要なので誤解のないようにお願いいたします。 X-XSS-Protection 以下のようなレスポンスヘッダーを出力することで、ブラウザの XSS フィルター機能を強
Chromeのアドレスバーに「保護されていない通信」と表示される原因とその対策
Chromeで「保護されていない通信」という不安なメッセージが表示されるのはなぜ? Google Chrome(以下、Chromeと略)でWebページを開いた際、アドレスバー(オムニボックス)内のURLの左側に「保護されていない通信」と表示されて不安に感じたことはありませんか? この不安になるメッセージは一体何を表しているのでしょうか? 本稿では、このように表示される原因と対策について説明します。 「保護されていない通信」と表示されるのはHTTPのせい ●HTTPは「保護されていない通信」 上記の「保護されていない通信」というメッセージは、「安全」ではない通信路でWebサイトと接続し、Webページを開いたときに表示される警告の一種です。具体的には、URLが「http://」から始まるHTTP接続のWebページでは、必ずこの警告が表示されます。 HTTPはWebサーバとクライアントの間でやり
Let's Encrypt発行の無料サーバ証明書、全主要ブラウザで有効に
インターネット上の通信を暗号化するTLSのために必要なサーバ証明書を無料で発行している「Let's Encrypt」は10月19日、米大手認証局(CA)IdenTrustとのクロス署名が実現し、Let's Encryptの発行する証明書が全主要ブラウザで信頼できる証明書として認識されるようになったと発表した。 クロス署名はLet's Encryptが発行する中間証明書の「Let's Encrypt Authority X1」と「Let's Encrypt Authority X2」の両方が対象となる。これでユーザー側で特別な設定をしなくても、これら証明書を使ったWebサイトのURLにhttpsの鍵マークが表示され、安全な接続が保証される。 Let's EncryptはTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行するCAとして、MozillaやCisco Systemsとい
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
事前予告されていた OpenSSL のアップデートが公開されたので OpenSSL 1.0.2a を入れた件
OpenSSL に関して、3月 19日に重大なアップデートをリリースするよと事前に予告されていた件で、予告通り 19日 (米国時間) に多数の修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用しました。 今回のリリースに関連して公開されている各バージョンと、セキュリティアドバイザリーは下記です。 OpenSSL OpenSSL Security Advisory [19 Mar 2015] アドバイザリーを確認する限り、細かい脆弱性に関する修正は行われているものの、思っていた程は重大な感じではなく、まずはひと安心でした (もちろん、修正版の適用はなるべく迅速に行うべきです)。 なお、「Severity: High (重要度 高)」 に分類されている FREAK に関連した修正 (CVE-2015-0204) に関しても、後述しますが重要度の再分類があったために
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全でないページのパスワードフィールドで警告される | Firefox ヘルプ
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita