opensslコマンドtips — ありえるえりあ
opensslコマンドtips 元は、AirOneのセキュリティ関連のファイルの説明文書です。 opensslコマンドのtips文書として使えるので、いくつか追記して、公開します。 * PKI関連 ========= ** identity.pem(秘密鍵ファイル) ** cert.pem(証明書ファイル) AirOneの起動時にidentity.pemとcert.pemの整合性チェックを行います(airu_cert_validate())。 チェック項目、エラーコード、解析方法を説明します。 チェック項目 ------------ 1. cert.pemがx509のフォーマットか? エラーコード: #0301005 解析方法: openssl x509 -text -in cert.pem でエラーがでないこと。 2. identity.pemが入力パスワードで読めるか? エラーコード:
opensslでRSA暗号と遊ぶ - ろば電子が詰まつてゐる
opensslとRSA暗号についてちょっと調べてみようかな、と思った。 まずRSA暗号とは、 公開鍵暗号方式の実装のひとつである 2つの素数の積(ケタ数が大きい場合の素因数分解の困難さ)を利用している ってことを理屈としては理解しているけど、実際にopensslコマンドで作った鍵ファイルの中身がどうなっているのか? ということまで踏み込んだことが無かった。 というわけで、ちょっとその辺をコマンド叩きながら遊んでみることにする。 はじめに:opensslの操作について opensslコマンドは増築に増築を重ねすぎており、もはやそびえ立つ××のようである。ヤヴァいことになったレベルで機能てんこ盛りのコマンドなので、サブコマンドとして機能名を指定して使うことになる。 openssl command [ command_opts ] [ command_args ]上例の「command」には、R
オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まつてゐる
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
SSL入門
2005/10/02更新 高木浩光@自宅の日記を拝見するにつけ、PKI としての SSL が 中途半端な理解により台無しにされている場面が多いように思えます。そこで(セキュリティの専門家ではないものの)私が理解している範囲で自分なりに入門解説を書いてみました。 ちなみに、SSL v3 に少しの改良を加えたものが TLS v1.0 ですが、技術的な細かい点を気にしない 場合は、SSLと総称されています。 ここでも、そんな細かいことは気にしていないので SSL と総称しています。 SSLしくみ解説 まず、SSLを理解するために必要な用語を解説し、次に SSLが PKI としてどのような構成要素で安全な通信路を形成しているか解説します。 暗号化と復号化 コンピューターで暗号化というと、暗号化する前のデータ (以下、「平文(ひらぶん)」と呼びます)と鍵となるデータ(以下「鍵」と呼びます) を使って
Servlet で redirect した時の location ヘッダにセットされる ホスト名ってどうなっているのか - Takuya71 のぶろぐ
Servlet で redirect した時の location ヘッダにセットされる ホスト名ってどうなっているのか Servlet では HttpServletResponse.sendRedirect(location) メソッド使ってリダイレクトできますが、 この location に相対パスを設定した場合でも location ヘッダには 絶対パスが出力されます。 この時のホスト名は なんの情報から設定されるのだろうか? という疑問 Tomcat7.0 の ソースで調べてみた。 Response.java をみると sendRedirect(String location) があり、この中で toAbsolute が呼ばれていて、ここで 相対パス -> 絶対パスへの変換がされているようだ ... protected String toAbsolute(String locatio
wall-climb » TomcatのSSL/non-SSL通信時のリダイレクト
「SSLアクセラレータ配下ぜ Apache自己圏 ? URL」ぜ SSLアクセラレータ配下ぜ Apacheのリダイレクト問題を記述したが、こぜ ApacheがTomcatと連携している場合に同じ問題がTomcat側で発生する。つまり、以? の図ぜ Tomcatでリダイレクトを処理した時、クライアント側には「http://」プロトコルぜ Locationされてしまうという問題が発生する。 クライアント | SSL通? SSLアクセラレー゜ | non-SSL通? Apache | non-SSL通? Tomcat Apache側ではこの問題に対応する為に、SSL、non-SSL2つぜ VirtualHostを作成し、ServerName定義を分けることで対応した。Tomcat側でもSSL、non-SSL2つのコネクタを用? すればこの問題に対応可能となる。server.xmlは以下のように?
Y!J API が止まった日 - GlobalSign の Root 証明書切れから学んだこと - OAuth.jp
昨日あたりから、Yahoo! Wallet や YConnect といった、Yahoo! Japan の API にアクセスできなくなったって人、ちらほらいるかもしれませんね。 僕もちょっとそういうケース見かけました。 なんか Yahoo! Japan がポカしちゃったの?とか、まぁ昨日まで健康に動いてたシステムが突然 Yahoo! Japan の API にアクセスできなくなっちゃったんだし、そらそう思うのもムリはない。 が、今回のケース、Yahoo! は全く悪くない! プライバシーフリークはどうかと思うがな!! では早速、今回起こったことを、振り返ってみましょう。 Yahoo! API にアクセスできなくなった Yahoo! Japan は、yahoo.co.jp 以外にも、CDN 用や API 用など、用途ごとにいくつかのドメインを持ってます。 今回止まったのは、その中の API 用
JavaのSSLSocketでSSLクライアントとSSLサーバーを実装する
はじめに 企業間の受発注取引をインターネットを利用して行うB2B(企業間電子商取引)も、ロゼッタネットをはじめとして、ここ数年で導入が活発化してきています。B2Bシステムを構築する際に欠かせないのがセキュリティの確保であり、セキュリティインフラの中心となるのがSSL(Secure Socket Layer)です。本記事では、J2SE1.4から標準で用意されたJSSE(Java Secure Socket Extension)のAPIを利用した簡単なSSLサーバー/クライアントの実装例を紹介します。 対象読者 Javaプログラミングを行ったことがある方を対象とします。 必要な環境 サンプルは以下の環境で動作確認を行っています。 J2SE1.4 J2SE5.0 SSLについて SSLは、ネットワークを通じたデータ送信時にデータの機密性および整合性を保護するために設計されたプロトコルです。SSL
無料のSSL証明書StartSSLを活用する - Qiita
背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに本人確認のメールが届くので、受信したメールのa
AWS環境におけるSSL証明書の登録申請〜AWSへのアップロードまでの作業手順 | DevelopersIO
当エントリはSSL証明書自体の発行依頼を行ってから、AWS環境にアップロードして使えるようになるまでの流れを整理したものです。内部向け、というか完全オレ向け備忘録な内容になってしまいますが、同じ様な手順を行うケースは(人と場合によっては)あるでしょうし、その際の手順書的な位置付けで参照して頂ければ、と思います。ちなみに私はこの一連の作業を行う事は今回が初めてでした。 証明書登録申請処理を行う 今回新たに入手する事にした証明書は、GeoTrust社のもの。 SSLサーバ証明書 ジオトラスト(GeoTrust) - 公式サイト 申請にあたって必要となる情報 申請責任者に関する情報(名前、電話番号、メールアドレス等) 技術担当者に関する情報(名前、電話番号、メールアドレス等) 証明書登録に関する情報(CSR、申請承認メールの配信先、Whois登録メールアドレス等) この辺の情報は時と場合によって
なぜあなたがウェブサイトをHTTPS化するとサイトが遅くなってユーザーが逃げていくのか - 射撃しつつ前転 改
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
Create new page · fujieda/fujieda Wiki
Attach files by dragging & dropping, selecting or pasting them. Uploading your files… We don’t support that file type. Try again with a GIF, JPEG, JPG, MOV, MP4, PNG, SVG or WEBM. Attaching documents requires write permission to this repository. Try again with a GIF, JPEG, JPG, MOV, MP4, PNG, SVG or WEBM. We don’t support that file type. Try again with a GIF, JPEG, JPG, MOV, MP4, PNG, SVG or WEBM.
SSL is not about encryption
これはTroy Hunt氏によるSSL is not about encryptionの和訳である。@ten_forward氏による翻訳もあるが訳がわかりづらいので、ほとんど参考にせずに翻訳し直した。 SSL is not about encryption. は The basic purpose of SSL is not encryption. のように訳す。同様な文例に Copyright is not about copying. がある。@ten_forward氏による「SSLは暗号化のためのものではありません」は誤訳である。ここでは「主目的ではない」と訳す。 SSLの主目的は暗号化ではない SSLの主目的は保証することである。サイトが本物であることにある程度の信頼性を与えることで、データの送受信を行う際にデータが横取りされることも改ざんされることもなく意図した相手に届くと確信で
SSL のパフォーマンスでお嘆きの貴兄に - What I’ve found has never been enough@Hatena
SSL アクセラレータの価格に胃を痛めている貴兄、それが買えず SSL のためだけにサーバの台数をニョキニョキ増やしている貴兄、そうでなくとも SSL のパフォーマンスでお嘆きの貴兄のために、いろいろまとめてみましたよ。 SSLセッションキャッシュのタイムアウト設定を長くしよう SSL の負荷のほとんどはセッションの生成によるものなので、当然のようにサーバ側の SSL セッションキャッシュを有効にしておられると思いますが、そのタイムアウトの設定がデフォルトのままという方が多いのではないでしょうか。 たとえばApacheでしたら、設定サンプルのまま SSLSessionCache shm:/usr/local/apache/logs/ssl_gcache_data(512000) SSLSessionCacheTimeout 300 としている方が多いのではないでしょうか。 各サーバのデフォ
5分で絶対に分かるEV SSL証明書
鍵のマークが表示されても、「オレオレ証明書」じゃ意味がない! 緑のマークの「EV SSL証明書」で安全が確保できる理由を5分で解説します
モバイルウェブ環境のHTTPSのチューニング « NAVER Engineers' Blog
こんにちは検索サービス開発4チームの崔珉秀と申します。 インフラやシステムとの連携や統計のバックエンドを担当しております。 モバイルのウェブ環境はPCのウェブ使用環境とは色々な違いが有ります。 ネットワークの速度だけではなくバッテリーの効率を考えた仕組みなど、PCに比べリソースが十分ではないためモバイルブラウザの動作が異なっていることも有ります。 今回はモバイルのウェブApplicationにおけるSSL関係の性能に関する工夫の内容をQ&A形式で解説していきます。 Q. 何が問題でしたか? A. モバイルクライアント(iPhone, Android)のアプリケーションからのHTTPリクエストの応答時間に遅延の問題が有ります。 最初はweb access logからのslow response(1秒以上)のHTTPリクエストが結構ありました。 そのHTTPリクエストをprotoc
Google が Facebook からメールアドレスを取り出すひとつの方法 - 知らないけどきっとそう。
4ヶ月ほど前、こんなニュースがありました データ囲い込み戦争がエスカレート―GoogleのFacebook締め出しに対するFacebookの反応に対するGoogleの反応 | TechCrunch Japan Facebookが、ユーザのGmailの連絡先に入っているメールアドレスを使ってFacebook内の友人検索を実現している割には、Facebook自身は友人のメールアドレスを取り出すためのAPIを用意してない Googleが、Facebookに対してGmailの連絡先にアクセスするためのAPIの使用を禁止した Facebookが、APIを使わずにメールアドレスをインポートする機能をリリースした うんぬん Googleとしては、Facebookに友人のメールアドレスを取得する手段を提供させたいわけで ところで、最近Androidというものを試しているんですが、Facebookも 公式ア
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
Secure Access to Your Application with SSL
http://www.smartjava.org/content/how-analyze-java-ssl-errors/