X.509証明書の検証手順とありがちな脆弱性 - Qiita
御社におかれてはTLSスタックのテストは十分に実施しておられますか。拙稿改造する人のためのJSSEをお読みになった御社はもちろんばっちりだと思いますが、世の中では相変わらず不十分なテストと脆弱なコードが溢れかえっている今日この頃です。そんなわけで本稿のお題は証明書の検証! 基本的な仕組みを復習する 証明書の検証というのは具体的に何をするのかを復習します。以下の説明では、TLSサーバ証明書をクライアントで検証するケースで説明します。これ以外のケース(TLSクライアント証明書をサーバ側で検証するとか、コードサイニング証明書を検証するとか)は、適宜読み替えてください。 証明書チェーン(候補)の構築 TLSのServerCertificateメッセージで、サーバ証明書がダウンロードされて来るわけですが、まずは証明書のSubjectフィールドとIssuerフィールドに注目し、下位証明書のIssuer
改造する人のためのJSSE - Qiita
IoTとやらが大ブームですが、その一方で頭を抱えたくなるような脆弱性満載のTLSスタックを搭載した製品が時折みられます。みなさんTLSスタックのテストちゃんとやってますか。 TLSスタックのテストをやるとなると、そこで使うスタブとかモックとかダブルとかドライバとか呼ばれるモロモロのあれやそれやを作っていくわけですが、そのためにTLSスタックを一から書くのはちょっと非現実的なので、何らかのライブラリを入手してそこから手を加えていくことになると思います。しかるにOpenSSLは、高機能ですけど改造母体とするには敷居が高いですよね。しかしOpenJDKのJSSEなら、機能性はともかく、改造母体としての扱いやすさはそれなりに悪くないという印象です。 というわけで、くれぐれも悪用厳禁でレッツゴー! 実行環境と方針 OracleJDK/OpenJDKの標準ライブラリをextendして機能追加できればい
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
