中間CA証明書はCertCentralよりダウンロードしてください。 参考:サーバIDインストール手順 (-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーし、そのままテキストエディタに貼り付けます。 中間CA証明書保存例 貼り付け完了後、中間CA証明書ファイルとして任意のファイル名で保存します。 例: intermediate.crt 保存した中間CA証明書ファイルを設定ファイルで指定します。
中間CA証明書はCertCentralよりダウンロードしてください。 参考:サーバIDインストール手順 (-----BEGIN CERTIFICATE-----) から (-----END CERTIFICATE-----) までをコピーし、そのままテキストエディタに貼り付けます。 中間CA証明書保存例 貼り付け完了後、中間CA証明書ファイルとして任意のファイル名で保存します。 例: intermediate.crt 保存した中間CA証明書ファイルを設定ファイルで指定します。
設定前の準備 まず、SSL復号化ができているかどうかを確認するため、トラフィックログのフォーマットを変更します。 Monitor > ログ > トラフィックへ移動し、左上にカーソルを当てると、下矢印が表示されるので、クリックします。すると、カラムという文字が表示されますので、復号化にチェックを入れます。 以下のように、復号化のカラムが追加されます。先頭に配置されますので、ドラッグにより好きなところに配置してください。今回は復号化のテストに使用するので、先頭に配置します。 端末からGoogle、Twitter、Youtubeへアクセスしてみます。復号化されていない(no)であることが確認できます。 自己署名ルートCA証明書(Self-Signed Root CA Certificate)作成 今回は、エンタープライズCAによって署名された証明書ではなく、Paloaltoが自己署名した証明書を
最近ではSSL Decryption(復号)機能は殆どのUTM/Proxy製品が対応していると思います。Palo Altoの場合、SSL Decryptionに3種類の方式があるため、要件に応じて使い分ける必要があります。 (1) SSL Forward Proxy 一般的なSSL Decryption機能であり、ClientからServer向けのSSL通信上にProxyとして存在します。サーバ証明書をPalo Altoが再署名(発行元、RootCAとして署名)するため、クライアントのWebブラウザにPalo Altoの証明書をインポートしなければなりません。また、TAPモードでは使用出来ません。 #公的証明書をインストールすればクライアントのWebブラウザにインストールしなくてもよいとマニュアルには書いてあるんですが出来ないらしい、、Palo自体に証明書自体入りませんでした。 (2)SS
WebサーバのHTTPS化において、SSL/TLS周りの各種設定はどう選択するべきか(2016年度版)SecuritySSLHTTPSTLS 公開HTTPSサーバを立てるときに悩む点の一つが、SSL/TLS周りの設定です。 SSL/TLSや暗号周りの知識がないと適切な設定を選ぶのは難しい そもそも設定が何を意味しているのか読み取れない 「推奨される設定」が各種サイトでいくつも、微妙に違うものが紹介されていて、どれが良いのか選べない とりわけ暗号が関連する選択肢は呪文めいていて、専門知識を持たないWebエンジニアにとっては、なかなか難しいものがあると思います。 筆者もSSL/TLSの専門家ではありません。 専門家でないなりに極力信頼できそうなソースや実例を参考にしつつ、まとめました。もともとは自分用調査資料集のような記事です。 すごく長くなってしまいました(若干力尽きている)。 TL;DR
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
Google Chrome で自組織のCAで署名したSSL証明書のサイトにアクセスすると NET::ERR_CERT_COMMON_NAME_INVALID エラーメッセージが表示される - Windows Google Chrome で自組織のCAで署名したSSL証明書のサイトにアクセスすると NET::ERR_CERT_COMMON_NAME_INVALID エラーメッセージが表示される現象について紹介します。 現象の確認 自組織のCAで署名したSSL証明書を利用したWebサイトを作成します。作成したWebサイトにMicrosoft Edgeでアクセスします。Webページが表示されます。 Internet Explorer でアクセスします。こちらも問題なくページが表示されます。 しかし、Google Chromeでアクセスするとエラーになり、下図の画面が表示されます。"NET::ER
If you are having a problem with your SSL certificate installation, please enter the name of your server. Our installation diagnostics tool will help you locate the problem and verify your SSL Certificate installation.
仕事でTLS関連のトラブルがあったが全然基礎知識がなかったので1から学んだ。この記事は特にTLSの仕様を解説したいわけではなくどこを参照してまだかメモっておく。僕が解説するよりそっちを参照したほうが確実。 まずSSLとTLSの違いすらわからないレベルだったのでウィキペディア読んだ。 Transport Layer Security - Wikipedia ウィキペディアがいいのは常に更新されているところで、例えばPOODLE攻撃とか比較的最近のトピックも網羅されている可能性が高い。ウィキペディアで得た知識だけでPOODLE攻撃がわかるかというと微妙だけどインデックスは貼れる。 今回の問題はハンドシェイクに問題があるとわかっていたのでハンドシェイクの詳細が知りたい。ウェブ上の記事だと SSL/TLS(Part.1) (1/3):不正アクセスを防止するSSL/TLS(2) - @IT が一番詳
(Last Updated On: 2018年8月18日)ここ数年だけでもSSLに対する攻撃方法やバグが何度も見つかっています。SSLで通信を暗号化していてもパスワード認証時のトラフィックを解読されてしまえば、パスワードが漏洩していまいます。パスワードが判ってしまえば、攻撃者は何度でも被害者のアカウントを利用できます。 脆弱性でなくても、SSLも無効化したMITM(中間者攻撃)も可能です。SSLだから安心、とは考えられません。これを何とかできないか、考えてみます。 参考: 今すぐできる、Webサイトへの2要素認証導入 覚えないパスワードは生成する物 〜 余計な文字数制限などは有害 〜 チャレンジレスポンス形式の認証 SSL通信が解読されてもパスワードを盗まれない方法といっても新しい方法ではありません。様々な認証方式で利用されている「チャレンジレスポンス」形式の認証方法を用いるだけです。チャ
$ curl -s -v --sslv3 https://example.com 1> /dev/null * Rebuilt URL to: https://example.com/ * Trying 93.184.216.34... * Connected to example.com (93.184.216.34) port 443 (#0) * SSL peer handshake failed, the server most likely requires a client certificate to connect * Closing connection 0 おっと、SSLハンドシェイクで通信に失敗したようですね。SSL3.0はPOODLE脆弱性問題があります。ちゃんとexample.comでは無効にしているようですね。以下のようにTLS1.2ではきちんとできました。Di
本ページの情報は2019年4月時点のものです。 2015年5月、独立行政法人情報処理推進機構(以下、「IPA」という。)では、暗号技術評価プロジェクトCRYPTREC の活動を通じ、オンラインショッピング、インターネットバンキング、ネットトレードなどのサービスで使用するSSL (Secure Socket Layer) /TLS (Transport Layer Security) プロトコルの適正な利用促進を目的として、SSL/TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするため、SSL/TLS暗号設定ガイドライン (以下「設定ガイドライン」という。)を公開しました。 その後、一般に販売されているSSL/TLSを利用するアプライアンス製品(以下、SSL/TLSアプライアンス製品という)の設定方法等への要望が多数寄せられたため、SSL/TLSに関してどの
もはやHTTPの時代ではない グーグルがここまで“SSL化”にこだわるわけ:半径300メートルのIT(1/2 ページ) GoogleのWebブラウザ、Chromeの最新バージョンでは、SSL化していないサイトのテキストボックスに情報を入力しようとすると、警告を表示するようになりました。なぜ、ここまで“SSL化”にこだわるのでしょうか。 このコラムでも何度か「https://」の仕組みをお伝えしてきました。Webブラウザの通信をHTTPSというプロトコル(通信のルール)を使い、サーバに設定された「SSLサーバ証明書」を用いて暗号化するというものです。SSL対応などと書かれることが多いですね。 少し前だと、HTTPSを使っているという証明の「錠マーク」がWebブラウザに出てくるのは、企業サイト、それも金融系サービスや会員制のログインが必須のサービスがほとんどでした。しかし、今では先進的なブログ
来歴 私は去年、とある賃貸マンションへ入居した。 インターネットは無料で利用可能、壁の端子にLANケーブルを挿すだけ。 ただ、この物件のインターネット回線がおかしい。1日に1回くらい、Webサイトを閲覧しようとしたときに、マンションの管理会社のホームページへリダイレクトされる現象が起きる。 イメージとしてはこんな感じ。 東京の天気が表示されるべきなのに、入居者用Webページのログイン画面へリダイレクトされる。 腹が立ったので今年の5月くらいに現象を調べ、原因がわかったことで満足していたが、重い腰を上げて結果を以下の記事にして公開する。改めてGoogle先生に聞いたら、同じことで悩んでいる人がいた。 自動リダイレクトの回避方法について。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10165027165 なお、後述の図には
これはhttpsにまだ対応していないこのサイトにアクセスしてみるとこのように表示されます。 「このサイトへの接続は保護されていません」 httpsに対応したTwitterなどにアクセスしてみるとこのように表示されます。 「保護された接続」これが現時点で閲覧するユーザーがわかる大きな違いです。この「s」の有り無しで保護されるかされないかが決まります。 何故この保護する必要が出てきたのかもともとこのhttpsはクレジットカード決済の画面など個人情報などを扱うページでよく利用されていました。しかし、最近はスマホの普及でこの個人情報を扱うデータ量が増えてきました。 さらには公共のWi-Fiスポットも増えたことで暗号化されていないWi-Fiでアクセスする機会も増えてしまいました。 そこでwebページにアクセスする場合は個人情報保護のため暗号化されたhttpsを常時接続の標準にしたほうが安全という流れ
富士通ソーシアルサイエンスラボラトリ(富士通SSL)は9月21日、マカフィーと共同で「マルウェア検知・拡散防止サービス」を発売した。出荷開始日は10月2日で、価格は1000台/月あたり248万4000円から。 ランサムウェアやマルウェアなどが日々増えており、特にエンドポイントからの被害が急増していると富士通SSLは指摘。同社は2016年より、標的型攻撃対策サービスやウイルス対策サービスなどエンドポイントのセキュリティーサービスを提供してきた。 今回同社は、エンドポイントのマルウェア検知と、侵入後の素早い対応を目的とした、マカフィーのEDR(エンドポイント検知/対応ツール)ソリューションに関するサービスプロバイダー契約を締結。世界初というエンドポイント対策サービスを提供開始する。 本サービスは、エンドポイントに侵入したマルウェアの検知や自動隔離・駆除に加え、富士通SSLの専門家が対処、復旧、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く