This shop will be powered by Are you the store owner? Log in here
This shop will be powered by Are you the store owner? Log in here
インターネット上の詐欺行為撲滅を推進する非営利団体のAuthentication and Online Trust Alliance(AOTA)は米国時間2008年11月20日,デジタル証明書「Extended Validation Security Socket Layer(EV SSL)」の導入状況について調査した結果を発表した。それによると, 2008年はEV SSL証明書を導入するWebサイトが急増しており,その数は現在1万を超えると推計される。AOTAが電子商取引やオンライン・バンクのサイトに対して最初に導入を呼びかけた10カ月前には,導入サイト数は4000程度だった。 EV SSL証明書は,増加するインターネット上の詐欺行為への対策として,より厳格な審査によって発行されるデジタル証明書。Webサイトの正当性の検証をサポートする。EV SSLを導入したWebサイトを訪問すると,W
■ 第六種オレオレ証明書が今後増加するおそれ リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。 無知な鯖管, 別館「S3日記」, 2007年12月9日 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日 これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フ
Windows XP SP2では,WebDAV(「Webフォルダ」)の仕様が変更されている。具体的には,暗号化されていない通信路でBasic認証が使えなくなってしまった。 Changes to Functionality in Microsoft Windows XP Service Pack 2 - Part 2: Network Protection Technologies - WebDAV Redirector 管理にWebDAVを使っているWebサイトがあるのだが,管理者が使っているパソコンのOSをアップデートしてしまったところ,使えなくなってしまったのが,今回の対応策をとるきっかけだった。 サーバーはRedHat 9ベース,これにApache 2.2.0を普通にコンパイルして追加導入している。 採りうる選択肢 Basic認証を使うのをやめる Digest認証を使う方
ジェイサートは2009年5月15日,サーバー数無制限のSSL証明書「スターフィールドSSL」を発表した。ドメイン数に応じた課金体系を採るのが特徴。負荷分散装置やサーバーの台数が多いユーザーほど割安になる。発行元は同分野で米VeriSignに次ぐ大手の米Go Daddy Group傘下のStarfield Technologies。同年7月に販売を始める。 販売するSSL証明書は,ドメイン認証のみの「スタンダードSSL」と,ドメインを保持する企業や団体など組織の実在性を認証する「デラックスSSL」の2種類。それぞれシングル・ドメイン,複数サブドメイン,複数ドメイン向けのライセンスを用意する。いずれの製品もサーバー数は無制限。 スタンダードSSLの価格は,シングル・ドメイン版が年額2万6250円,サブドメイン無制限版が年額13万1250円,複数ドメイン版が年額7万8750円から(追加5ドメイン
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
しかし、これだけでは十分ではありません。実際にあった例では、フィッシング詐欺の偽サイトがSSLを利用していました。この場合、一見すると施錠された鍵マークが出ているので正規サイトと見分けがつきません。 (~中略~) ユーザーを大事にしている企業では、トップページなどに「当サイトのSSL証明書には次の様に記載されております」といった形で、内容が掲示されていることもあります。しかし、国内ではこのような対応をしている企業は少ないのが実状です。 いまいち意味が分からないのですが……そのような掲示に、何か意味があるのでしょうか? ここでは、攻撃者が自サイトの証明書を持っているケースを想定しているのですよね。であれば、攻撃者も「当サイトのSSL証明書には次の様に記載されております」として証明書の内容を記載する事が可能です。よって、その掲示自体が本物なのか否かを確認しなければならないはずですが……この掲示
Exchange Server 2007で外部の認証機関(CA)が発行するSSL証明書を利用する際に,その証明書が複数のサブジェクト名(subjectAltNames)を持てるようになっていると,とても便利だ。なぜなら,Exchange Serverが異なる完全修飾ドメイン名(FQDN)で複数のサーバーを運用していても,用意する証明書の数が1つだけで済むようになるからだ。 筆者は過去に,Exchange Server 2007で利用できるSSL証明書の価格が安くなってきていることを取り上げたことがある(関連記事:ExchangeでSSL証明書が使いやすくなってきた)。その際も,証明書が複数のサブジェクト名に対応していれば,Exchangeが「autodiscover.yourdomain.com」や「mail.yourdomain.com」といったFQDNで運用されるサーバーを使っていたと
Yahoo! Photosをかたる偽サイト<br>URLを見れば偽物であることは一目瞭然。だが,本物のサイトでもSSLは利用していないため,偽サイトを作られやすい。 米SANS Instituteは現地時間7月6日,ユーザーIDやパスワードを入力させるようなログイン・ページでは,パスワードなどの送信にSSL(Secure Sockets Layer)を使うだけではなく,ログイン・ページ自体もSSLにすべきだと注意を呼びかけた。フィッシング詐欺などを目的としたなりすましを防ぐためである(関連記事「なぜSSL利用をケチるのか」)。 SANS Instituteでは,最近確認されたフィッシング詐欺目的の偽サイトを引き合いに出して,SSLの重要性を説明する。この偽サイトは,米Yahoo!が提供する写真共有サービス「Yahoo! Photos」に見せかけたもの。URLを見れば偽物であることが一目で分
■ SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 24日のIT Proの記者の眼に「なぜSSL利用をケチるのか」という記事が出ていた。筆者の阿蘇氏には勤務先でWebアプリケーションセキュリティについて取材を受けたことがある。この記事の主張はこうだ。 Webサイトはログイン画面からSSLを使い,利用者はログイン時に鍵マークを確認するのが常識。 阿蘇和人, なぜSSL利用をケチるのか, 日経IT Pro記者の眼, 2005年11月24日 正しい。より正確には「ログイン時」というのは、パスワードを入力する前にということだろう。ただ、その根拠としてこの記事は、フィッシング対策としてサイトが本物かを確かめるためという点だけを挙げているが、その根拠はやや弱い。 SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはならない理由のもうひとつの重大な理由
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
写真●左からジェイサートの石原章年社長,米Go Daddy GroupのWarren Adelman社長兼CEO,同Business DevelopmentのYong Leeディレクタ 北米でドメイン名登録の価格破壊を巻き起こした立役者が,SSL証明書を先兵に日本市場に参入する。ジェイサートは2008年12月10日,米Go Daddy Groupと日本市場における協業で合意したと発表。2009年春をめどに,Go Daddy傘下のStarfield Technologiesが発行するSSL証明書を「額面で国内最安,サーバー数無制限で実質的には激安」(石原章年社長)の価格で提供するとぶち上げた。 国内でのラインナップは,Go Daddyが販売するStarfieldブランドのSSL証明書に準じる。国内でのサービス名は未定。ドメイン認証のみの「Standard」,企業や団体など組織の実在性を認証す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く