タグ

SSLに関するtvskのブックマーク (22)

  • PGPの説明

    PGPによる暗号化のすすめ 医療機関で患者情報をやりとりするなど、メールなどで重要な他に漏らしてはならない重要な情報のやり取りを行う場合には、PGP(Pretty Good Privacy)という暗号を用いたメールのやり取りにするのが最も安全性が高いということで推奨したいと考えています。PGPは極めて高度な暗号技術であり、解読は事実上不可能に近いと言われています(理論的には解読は可能なのでしょうが、現在の最高性能のコンピューターを使って計算しても千年かかるとか、1万年かかるとかいうことです。しかし、将来コンピューターの性能が100万倍になれば話はかわってきます)。背景には高度な数学理論と暗号理論がありますが、実際に使う際にはそのようなことは気にせずに、使い方だけをマスターすれば使えます。例えば、インターネット通販を利用する際にはブラウザーでは SSL という暗号技術を使って高いセキュリティ

    tvsk
    tvsk 2020/08/31
    公開鍵の取り扱い
  • PFS(Perfect Forward Secrecy) | kim hirokuni

    SSL/TLSの問題 なぜPFSが注目されているか PFS (Perfect Forward Secrecy)とは暗号化された通信と暗号化するための秘密鍵が両方漏洩しても複合化できません、という鍵交換に関する概念です。 PFSは概念なのでを実装する仕組みが別にあります。2014年1月現時点ではPFSはまだあまり普及していないので、主に使われてい鍵交換方式はPFSではありません。 Edward SnowdenがアメリカのNSAの諜報活動をリークしたことをきっかけにPFSは有名になりました。 NSAは 何らかの方法でWebサーバとクライアント間の通信を盗聴する(いわゆる中間者攻撃) 通信は暗号化されていてもとにかく保存 将来、何らかの方法で暗号化に使われた鍵が手に入ったら保存していた通信を解読 ということを行っていました。PFSではない仕組みを使って通信した場合、このようにして通信の時点では暗

    tvsk
    tvsk 2020/08/31
    なぜ安全に鍵交換ができるのか
  • SSL/TLSサーバ証明書、コードサイニング証明書 | 国内最安値DigiCert(デジサート)正規代理店

    opensslプライベートキー復号化 CSR作成時に、PEMフレーズ(PEM phrase)を指定して秘密鍵を暗号化し、保護することができます。 しかし、そのままの状態で利用すると、apache等のサーバーでは起動のたびにPEMフレーズ (PEM phrase) の入力を求められます。そのため、暗号化された秘密鍵は復号化して使うのが一般的です。 復号化した秘密鍵はroot以外は読めない状態で保存してください。 PEMフレーズ(PEM phrase)で暗号化解除 以下のopensslコマンドを実行すると、PEMフレーズ(PEM phrase)が要求されます。 # openssl rsa -in ssl.pk -out ssl.pk openssl rsa コマンドは、プライベートキーからデフォルトの暗号化を取り去り(decrypt)、Apache Webサーバー等のアプリケーションが利用でき

    SSL/TLSサーバ証明書、コードサイニング証明書 | 国内最安値DigiCert(デジサート)正規代理店
    tvsk
    tvsk 2020/08/31
    秘密鍵を復号して使うユースケース。Apache が読める形式で保管する。
  • Qualys SSL Labs - SSL Pulse

    SSL Pulse is a continuous and global dashboard for monitoring the quality of SSL / TLS support over time across 150,000 SSL- and TLS-enabled websites, based on Alexa’s list of the most popular sites in the world. SSL Security Summary: This is the summary of the effective SSL security implemented by the most popular web sites. To be secure, a site has to be well configured, which means that it must

  • AWSにおけるSSL証明書の基本的な取扱い | 外道父の匠

    多くの企業が、今年中にWebサービスの暗号化を進めなくてはいけなくなったかと思います。 Webに接続するiOSアプリは2017年1月からHTTPSの使用が絶対条件になる、デベロッパーはご注意を | TechCrunch Japan ということで、基的な内容ではありますが、AWSにおけるSSL証明書の扱いについて復習してみます。 AWSで扱う証明書の種類 ここでいう種類とは、EV SSL だの ワイルドカードだの、証明書の製品としての種類ではありません。 1つは AWS Certificate Manager(以下、ACM)の無償証明書、もう1つは従来のSSLサーバ証明書販売サイトで購入する有償証明書、の2種類となります。 それぞれの証明書を、AWSのリソースにどのように登録し、運用していくかについてまとめていきます。 ACMの証明書を利用する 2016年1月にリリースされ、5月にはTok

    AWSにおけるSSL証明書の基本的な取扱い | 外道父の匠
    tvsk
    tvsk 2017/12/21
  • OpenSSL Certificate Authority — Jamie Nguyen

    OpenSSL Certificate Authority¶ This guide demonstrates how to act as your own certificate authority (CA) using the OpenSSL command-line tools. This is useful in a number of situations, such as issuing server certificates to secure an intranet website, or for issuing certificates to clients to allow them to authenticate to a server.

    tvsk
    tvsk 2016/05/19
  • 特定商取引に基づく表記 | SSLストア

    ■ドメイン認証■ FujiSSL、FujiSSLワイルドカード、RapidSSL、RapidSSLワイルドカード、GeotrustクリックSSLプレミアム、PositiveSSL、PositiveSSLワイルドカード、EssentialSSL EssentialSSワイルドカードはメール又はファイルでの承認確認後、10分以内 ■企業認証、EV認証■ FujiSSL Business Secure Site、FujiSSL EV Secure Site、GeotrustトゥルービジネスID、GeotrustトゥルービジネスIDワイルドカード、GeotrustトゥルービジネスID EV、SureServer、DigiCertワイルドカード、DigiCertマルチドメイン、DigiCertマルチドメインEV、シマンテックセキュアサーバID、シマンテックセキュアサーバIDワイルドカード、シマンテッ

    tvsk
    tvsk 2016/05/16
    SSLサーバ証明書の格安販売。SSLストア。RapidSSL, GeoTrust, Comodo, Verisign の販売代理店。
  • Let's EncryptのSSL証明書で、Qualys SSLTestでA+評価を獲得するには - Qiita

    前回の記事、「Let's Encryptから無料・安全なSSL証明書を取得してNginxに設定するまで」で、Let's Encryptから無料のSSL証明書を取得する方法を紹介しました。 Let's Encryptは、2015/11/17現在ベータ運用中ではありますが、だからと言って発行されたSSL証明書に問題がある訳ではありません。 その証拠に、Let's Encryptから取得したSSLサーバ証明書をnginxに設定し、Qualys SSL Testで検査したところ、無事「A+」評価が獲得できました。 (※役に立つかわかりませんが、テスト結果の完全なスクリーンショットも置いておきます。サイズが大きいので注意 / 0.5M) ちょっと長いですが、設定の手順をご紹介します。 (どちらかというとQualys SSL TestでA+を取る設定についての一般的な話で、Let's Encryptの

    Let's EncryptのSSL証明書で、Qualys SSLTestでA+評価を獲得するには - Qiita
    tvsk
    tvsk 2016/05/16
    SSL サーバ設定の評価サービス Qualys SSLTest
  • SSL証明書インストールに関するメモ | ぺんラボブログ

    Windows Server(IIS)で使っていたSSL証明書を、Apacheに移し変える作業が必要になっていましたが、なかなか解決の糸口が見つからず2ヶ月ぐらい経過してしまいました。SSL自体の理屈はシスアドでも個人情報保護士でも必要な知識なので理解はしてますが、実際の設定となると上手くいかないものです。いろいろ調べてみても、どのサイトも説明がまちまちでなかなか理解に苦しみました。ここではメモを書き起こすことで、頭に叩き込むことにしました。 まず、拡張子に惑わされないこと。当たり前ですが、拡張子がファイルの内容を証明できるわけではありません。解説サイトに出てくる拡張子には、pem、key、cer、crtというものがありました。SSLも歴史が古いですから、きちんと取り決めがあると思い込んでいたのが最初の間違いです。 つぎに、必要なファイルの呼び方がまちまちなこと。サーバーにインストールする

  • 最安・格安SSL証明書はどこだ? お店&価格リスト2019年9月版 | Exfield

    いよいよGoogle Chromeでhttp接続のサイトは問答無用で危険なサイトとして表示されるように! 時代の流れとはいえちょっと複雑な気もしますが致し方ないですかね。 もはやサイトを作るならSSL証明書は必須。Let's Encryptで試すことも出来ますし十分使えますが、 業務などで使うなら購入する方がいろんな意味で良いかなと思います。 2年を超える有効期間の証明書の発行が事実上不可能になっているので、どのお店も2年までしか 購入できなくなりました。 そんなわけで、今回から複数年契約時のメリットが薄れたので単年の価格のみに変更しました。 自分のサイトでも証明書を購入し続けているので継続調査ということで更新していきます。 今回は新しいお店も特になく、価格もごく一部の商品で変更がありましたがそれ以外は、 SSLBOXのキャンペーンが終わったことくらいしか差がありません。。。 円安だからな

    最安・格安SSL証明書はどこだ? お店&価格リスト2019年9月版 | Exfield
    tvsk
    tvsk 2016/05/16
    証明書購入 価格比較
  • AWSのELBに組み込んだ証明書を削除&拡張する方法 | MONSTER DIVE

    Web制作を生業としているプロダクションは、それほど規模の大きくない&アクセス数の少ないWebサイトを数多くホスティングしていることが多い。 1サイト毎に1台のWebサーバで運用できるといいのだが、「規模が小さい&アクセスが少ない」ということは、クライアント企業からいただける予算も大きくない。 つまり、それほどサーバの構築・運用に費用をかけることは出来なくなる。 そういった場合には、VirtualHostという手法を使って、1台のウェブサーバーに複数のウェブサイトを相乗りさせるのが常套手段となっている。 もちろん、VirtualHostのデメリットもある。 複数のウェブサイトが1台のサーバに載っている以上、そのサイトのどこかにアクセスが集中した場合、他のサイトにも影響する。 サーバ上の様々なアップデートの影響が全サイトに影響したりする。(アップデートが一回で済むという場合はメリット。w)

    AWSのELBに組み込んだ証明書を削除&拡張する方法 | MONSTER DIVE
    tvsk
    tvsk 2015/08/19
  • はじめての自宅サーバ構築 - Fedora/CentOS - 不正アクセス一覧の集計(OrignalCGI)

    ■ ログにセッション情報を出力するようにする 待ち受けるデーモン(ここではsshdとして説明)に、セッションを許すIPを設定します。 sshサービスの強化(サーバへのアクセス制御[接続元のネットワークを限定する])でも紹介していますが、ローカルIP(もしくは指定したグローバルIP)のみセッションの確立を許し、それ以外は全て除外するように指定します。 TCP Wrapper設定ファイルを確認 # vi /etc/hosts.deny # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line

    tvsk
    tvsk 2012/02/04
    不正なアクセスを集計するスクリプト、そのほかDIYに関するWEBサーバ構築に関す情報
  • 名前ベースのVirtualHostでは、複数のサーバ証明書を使えない

    ► 2018 (1) ► 1月 (1) ► 2017 (4) ► 6月 (3) ► 5月 (1) ► 2016 (15) ► 12月 (4) ► 11月 (1) ► 10月 (2) ► 7月 (3) ► 6月 (1) ► 5月 (3) ► 1月 (1) ► 2015 (13) ► 12月 (1) ► 10月 (1) ► 9月 (1) ► 6月 (1) ► 5月 (1) ► 3月 (2) ► 2月 (3) ► 1月 (3) ► 2014 (11) ► 12月 (1) ► 9月 (2) ► 8月 (2) ► 6月 (1) ► 4月 (4) ► 2月 (1) ► 2013 (15) ► 12月 (3) ► 11月 (3) ► 8月 (2) ► 7月 (4) ► 5月 (1) ► 4月 (2) ► 2012 (7) ► 10月 (1) ► 7月 (1) ► 4月 (3) ► 1月 (2) ► 20

    tvsk
    tvsk 2012/02/02
  • SSL+Basic認証の設定で意外に苦労しました(技術的な話題) - ITスペシャリストが語る芸術

    珍しく、ITの話題です。 技術的な内容ですので、興味のない方はスルーして下さい。 Web上のシステムを開発し、その管理システムにアクセスするのにセキュリティ保護のための認証を付けることにしました。 SSL(暗号化通信)+Basic認証で簡単に行うこととしましたが、サーバーの仕様のために妙な苦労をすることとなりました。 問題解決のためWebで調べておりましたら、意外と同じことで苦労されている方が時々いました。ほとんどの方は解決できたようですが、同じ方法では私の方は解決できませんでした。 そこで、ひょっとしたら誰かの役に立つかもしれませんので、ちょっと書いておきます。 尚、私はあくまでソフト開発者であり、しかもマイクロソフト系ですので、LinuxやApacheはあまり詳しいわけではありません。 □サーバーOS、WebOS Linux ES release 3 Apache 2.0 Basic認

    SSL+Basic認証の設定で意外に苦労しました(技術的な話題) - ITスペシャリストが語る芸術
    tvsk
    tvsk 2012/02/01
    SSLが前提にあるときのユーザ認証の考え方。
  • apache+mod_sslでSSL

    SHA2の証明書作成について 2015.10.10追記 SSL証明書の暗号アルゴリズムがSHA-1からSHA-2(sha256)へ変更されているところです。 SHA-2を使用してのオレオレ(自己証明)証明書作成手順をこちらのページで説明してます。 検証環境 OS:CentOS 4.4 httpd: 2.0.52-28.ent.centos4 mod_ssl-2.0.52-28.ent.centos4 openssl-0.9.7a-43.10 apache+mod_sslによるSSL設定 apache+mod_sslのSSL対応設定です。 apacheはrpmでインストールされている環境で検証しています。 アプリケーションの確認 SSLの設定に必要なmod_sslとopensslがインストールされているか確認します。 mod_sslの確認 # rpm -qa | grep mod_ssl m

    apache+mod_sslでSSL
    tvsk
    tvsk 2012/01/30
    パスなし秘密鍵を作成する
  • よくある質問と回答|SSL/TLS サーバー証明書 SureServer| サイバートラスト

    お申込み前の確認 証明書発行までの所要日数を教えてください。 他社(別組織)が所有しているドメイン名で申込みできますか? サーバー証明書の発行日を指定できますか? 電話でのお申込みの意思確認はどのように行いますか? 必要書類の要否などを事前に知りたいです お手続きについて 証明書の申込み手続きとサーバーの設定方法について教えてください。 「発行通知 E-mail アドレス」の変更手続きについて 住所や社名変更予定がある場合は、どんな手続きをすべきですか? 証明書を利用中の Web サーバーをリプレイス(交換)する際の手続きについて 申込みのキャンセル手続きについて ドメイン名使用権の確認について ドメイン名使用権確認メール内の承認範囲は、どれを選択すればいいですか? ドメイン名使用権確認の承認範囲の違いと影響を教えてください。 ドメイン名使用権確認メールのサンプルや承認画面のサンプルはあり

    よくある質問と回答|SSL/TLS サーバー証明書 SureServer| サイバートラスト
    tvsk
    tvsk 2012/01/27
    第三者機関の証明書発行 FAQ
  • Apache 鍵ペアおよびCSR生成(更新申込手順|SSLサーバ証明書)【セコム】

    tvsk
    tvsk 2012/01/18
    CSRファイルをopensslコマンドで内容確認する方法
  • 4.2.4 Apache mod SSLのインストールと設定 ― セキュアなWebサーバーの構築と運用

    Web(World Wide Web)はインターネットで広く普及しているドキュメントのシステムで、HTML(Hyper Text Markup Language)という論理構造化ドキュメントをWebサーバーが公開し、ユーザはWebブラウザというアプリケーションを使ってドキュメントを閲覧する。モデルでは公開するHTMLドキュメント群をWebコンテンツと呼称する。 Webコンテンツをネットワークに公開するにはサーバーにWebサービスを導入し、コンテンツを作成してネットワークに公開しなければならない。Webサービスはユーザからのリクエスト(URLリクエスト)を受け取って、ユーザが指定したWebコンテンツ(HTMLファイル、画像など)を送信する仕組みになっている。 1) 運用方針 モデルでは、以下の留意点を考慮したWebサービスの運用を行う。 ア) 動的コンテンツの危険性 CGIやSSI機能を

    tvsk
    tvsk 2011/11/17
    WEBサーバのSSL化。modSSLは、apacheとは別の話。→openSSL。これに加えて、サーバ側のconfファイル周りの話。
  • SSL証明書のKEYファイル・CSRファイル・CRTファイルのチェック方法 - install memo

    SSL証明書の発行プロセスでは、KEYファイルとCSRファイルを作ることになります。また、証明書会社からはCRTファイルが送られてきます。これらが正しいかどうかをチェックする方法を紹介します。 KEYファイルとは KEYファイルというのが正式名称だとは思えませんが、ここではSSL通信に利用する公開鍵暗号系の秘密鍵ファイルを指します(おそらく公開鍵情報も含んでいるんだと思いますが、このあたりはよくわかっていません)。 秘密鍵ファイルは次のようなヘッダ・フッタを利用します。 -----BEGIN RSA PRIVATE KEY----- -----END RSA PRIVATE KEY-----下記のようにすれば、KEYファイルが正しいかどうか確認できます。 $ openssl rsa -in ssl_example_jp.key -check -noout verify OK $ CSRファ

    SSL証明書のKEYファイル・CSRファイル・CRTファイルのチェック方法 - install memo
    tvsk
    tvsk 2011/11/16
    一連の作成コマンドに加えて、CSRファイルの検証コマンドも記載
  • SSL入門

    2005/10/02更新 高木浩光@自宅の日記を拝見するにつけ、PKI としての SSL が 中途半端な理解により台無しにされている場面が多いように思えます。そこで(セキュリティの専門家ではないものの)私が理解している範囲で自分なりに入門解説を書いてみました。 ちなみに、SSL v3 に少しの改良を加えたものが TLS v1.0 ですが、技術的な細かい点を気にしない 場合は、SSLと総称されています。 ここでも、そんな細かいことは気にしていないので SSL と総称しています。 SSLしくみ解説 まず、SSLを理解するために必要な用語を解説し、次に SSLが PKI としてどのような構成要素で安全な通信路を形成しているか解説します。 暗号化と復号化 コンピューターで暗号化というと、暗号化する前のデータ (以下、「平文(ひらぶん)」と呼びます)と鍵となるデータ(以下「鍵」と呼びます) を使って

    tvsk
    tvsk 2011/11/16
    平易な文章でSSLのしくみ、共通鍵暗号化の必要ファイルの作成コマンドを紹介