ComputerworldとCIO Magazineは 2023年5月23日で閉鎖しました。 長らくのご購読ありがとうございました。 日経クロステック TOPページ
Microsoft社が表明したコードサイニング証明書におけるSHA-1のアルゴリズムの利用期限が迫り、またWindows 10において証明書の要件が変更されるなど、証明書に関連するセキュリティ強化に変化が起こっている。本稿では、改めて証明書を取り巻く環境を整理するとともに、必須となりつつあるEVコードサイニング証明書を実際にグローバルサインから取得しながら証明書の利用方法をまとめていこう。 SHA-1からSHA-2への本格移行開始 SSL証明書やコードサイニング証明書におけるハッシュアルゴリズムとして、これまではSHA-1がデファクトスタンダードとして利用されてきた。しかし、SHA-1に対する攻撃法は10年ほど前に発見されており、コンピュータの演算処理能力も向上してきていることから、SHA-1の強度は十分ではない状況にある。より強力なSHA-2への移行はこれまでも推奨されてきたが、最近にな
Kazuho Oku @kazuho 大手CAがこれは… / そして「as of June 1st, 2016, all certificates issued by Symantec itself will be required to support Certif… htn.to/NzSouX2AV Kazuho Oku @kazuho まとめると、certificate transparencyのログに不正なgoogle . comのEV証明書が現れる→G「おいsymantecなにやってんねん」→S「内部テスト用に使ってただけや。これがリストや」→G「うそつけもっといっぱいあるのはわかってるんや」→S「ごめん」
インターネット上の通信を暗号化するTLSのために必要なサーバ証明書を無料で発行している「Let's Encrypt」は10月19日、米大手認証局(CA)IdenTrustとのクロス署名が実現し、Let's Encryptの発行する証明書が全主要ブラウザで信頼できる証明書として認識されるようになったと発表した。 クロス署名はLet's Encryptが発行する中間証明書の「Let's Encrypt Authority X1」と「Let's Encrypt Authority X2」の両方が対象となる。これでユーザー側で特別な設定をしなくても、これら証明書を使ったWebサイトのURLにhttpsの鍵マークが表示され、安全な接続が保証される。 Let's EncryptはTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行するCAとして、MozillaやCisco Systemsとい
概要 CentOS7の検証をしていると、ca-bundle.crtがシンボリックリンクになっていることに気がついた。 $ ll /etc/pki/tls/certs/ca-bundle.crt lrwxrwxrwx 1 root root 49 7月 16 17:04 /etc/pki/tls/certs/ca-bundle.crt -> /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem/etc/pki/ca-trust/という見覚えのないディレクトリがある。 /etc/pki/ca-trust/READMEを見ると This directory /etc/pki/ca-trust is used by a system of consolidated CA certificates. Please refer to the update-
新しいPCを購入し、セットアップを終えてOSが起動したあと、頼んでもいないプログラムが大量にインストールされているのを見て、嫌な気分を味わったことはないだろうか。セキュリティソフトの試用版あたりはまだしも、見栄えも使い勝手も悪いランチャー、どうでもいいショッピングアプリ、つまらないゲームや体験版、初心者向けと称するがほぼ初心者にも役に立たない解説アプリの数々……。愚にも付かない代物がデスクトップやスタート画面を埋め尽くし、ディスク容量や場合によってはメモリも無駄に消費している。この手の無駄なプリインストールソフトウェアは「crapware(ごみソフト)」「bloatware(水増しソフト)」などと呼ばれる。メーカーによっては、個人向けだけでなく法人向けモデルにまでクラップウェアが入っていることがあり(さすがに個人向けよりは少ないが)、うんざりさせられる。 だが、うんざりする程度ならまだ良か
対象ソフトウエア:Windows 7/Windows 8/Windows 8.1/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2 解説 2015年2月中旬、レノボ製の個人向けPCの一部にプレインストールされた「Superfish」というソフトウエアが、深刻なセキュリティ上の問題を引き起こす危険性があることが報道された。 LenovoのノートPCに不正なアドウェア、SSL通信を傍受(ITmediaエンタープライズ) Lenovo、「Superfish」プリインストールについて公式見解を発表(ITmedia PC USER) Lenovo、不正ソフトの削除ツール公開 他のアプリに影響も(ITmediaエンタープライズ) このソフトウエアは、一緒にインストールされた「CAルート証明書」を利用して、同じコンピュータ
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、システム統括本部 プラットフォーム開発本部 セキュリティテクノロジー部 セキュリティスペシャリストの戸田 薫です。 今回は、SSLサーバ証明書に関してお伝えします。 SHA-1からSHA-2へ 「SHA-1」の危殆化を背景にSHA-1証明書の利用禁止に関する工程表が業界団体や企業から告知されています。 CAブラウザフォーラム(ブラウザベンダーの業界団体) 2017/01/01以降、SHA-1証明書を利用したSSLサイトとのSSL通信と禁止する。 Google Chrome 2015年上旬(詳細時期未定)以降、「有効期限が2016/01/01以降」のSHA-1証明書を利用したSSLサイトにアクセスした場合、警告メッセージ
CyberAgent エンジニア Advent Calendar 2014 3日目の記事です。 3日目は、インフラ&コアテク本部の桑野が担当します。今日はエンジニアの僕が写真を存分に使って社内の紹介をしてみたいと思います。 「ようこそ、サイバーエージェントへ」こちらは受付です。 「ここが僕のデスクです」普段はこんな感じで作業しています。モンゴの調子はどうかな。 「MyS○Lはダメだよ!そこは○ongoDBじゃないと!」ミーティングスペースはこんな感じです。 「このコーヒーはうまい」無料で飲める自動販売機も充実しています。 「今日のお弁当はなにかな?」お昼にはちょっとお得なお弁当の販売もあります。 「勉強会開催しようかな」勉強会が開催できるような、大きなセミナールームもあります。最大でこの2倍の広さになります。(勉強会のご用命があれば是非お問い合わせください) 「これテストにでるからね」 「
米Googleは9月5日、データの改ざん検知などに使われるハッシュ関数の「SHA-1」の脆弱性が指摘されていることを受け、11月にリリース予定の「Chrome 39」からSHA-1のサポートを段階的に廃止すると発表した。 SHA-1を巡っては、安全度が低くなって「衝突攻撃」と呼ばれる攻撃も容易になりつつあるとGoogleは指摘する。主要ブラウザと電子証明書を発行する認証局の業界団体CA/Browser Forumは2011年、全認証局に対してできるだけ早くSHA-1の使用を段階的に中止するよう勧告。他の業界団体も同様の勧告を行っていた。 こうした現状に対応して11月に正式版が公開されるChrome 39では、2017年1月1日以降に失効するエンドエンティティ証明書(リーフ証明書)でSHA-1ベースの署名を使っているHTTPSサイトについて、「セキュアだがマイナーなエラーあり」と認識。URL
■背景 自社のサーバと通信する自社アプリについて、本来不要であるにも関わらず他社であるCAに認証情報の管理を委託することが多いわけですが、CAが証明書を誤発行した結果情報漏洩が発生したとして、その責任は自社にはないと主張できるのか、もう一度考えなおしたほうがいいんじゃないかと思うんです — Kazuho Oku (@kazuho) July 15, 2014 .@ockeghem @smbd @ando_Tw スマホアプリの提供においてはコードの署名鍵を安全に管理することが求められますが、その前提において通信相手の認証管理をCAに委託することにどれほどの意味があるんでしょう — Kazuho Oku (@kazuho) July 14, 2014 ■他社CAは信頼できるのか 特定のCAにpinningするのはしないより安全だけど、そもそも誤発行しないCAなんてあるのかという議論は重要。見知
Security Advisory Microsoft Security Advisory 2798897 Fraudulent Digital Certificates Could Allow Spoofing Published: January 03, 2013 | Updated: January 14, 2013 Version: 1.1 General Information Executive Summary Microsoft is aware of active attacks using one fraudulent digital certificate issued by TURKTRUST Inc., which is a CA present in the Trusted Root Certification Authorities Store. This fr
「*.google.com」のドメイン向けに手違いで不正な証明書が発行されて攻撃が発生。Google、Microsoft、Mozillaは問題の証明書を失効させる措置を講じた。 「*.google.com」のドメイン向けに不正な証明書が発効されていたことが分かり、主要ブラウザメーカーが問題の証明書を失効させる措置を講じている。 米Googleのセキュリティブログに1月3日付で掲載された情報によると、Google Chromeが12月24日に不正なデジタル証明書を検出して遮断。調べたところ、問題の証明書はトルコの認証局TURKTRUSTの傘下の中間認証局(CA)が発行していたことが判明した。 TURKTRUSTの説明によれば、2011年8月に2組織に対して通常のSSL証明書を発行すべきところを、手違いで中間CA証明書を発行していたことが分かったという。このためGoogleは12月25日から2
GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局(CA)が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。 GoogleのエンジニアであるAdam Langley氏のブログ投稿によると、「Google Chrome」は12月24日、「*.google.com」ドメイン向けの無認可セキュリティ証明書を検出し、ブロックしたという。同氏によると、この証明書のブロック後、Googleによる調査が行われ、問題の証明書がトルコの認証局であるTURKTRUST傘下の中間認証局により発行されたものであると特定できたという。 ウェブサイトの正当性を証明する電子ドキュメントである証明書が不正に作
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く