GPKIよ、おととい来やがれ!(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録
はじめに 煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。 一応 GPKIとはなにか? - IT digitalforensic.jp の内容が理解できる程度にはわかっているつもりですが。 前提知識 誰がどんな立場にいるかわからんと全くわからんと思うので CA/Policy Participants - MozillaWiki 問題 アプリケーション認証局2(Sub) | 政府認証基盤(GPKI)のホームページ にもあるように、 https://www.gpki.go.jp/selfcert/finger_print.html にアクセスしようとすると のようにルート証明書が信用できんといわれるんですね。 それで、ルート証明書を信用してくれるように mozilla.dev.security.policy › Japan GPKI Root Renewal Request (
FreeRADIUSとOpenSSLで構築する802.1X認証サーバ
<用意するソフトウェア> ・ openssl-0.9.7d.tar.gz ・ freeradius-0.9.3.tar.gz <ダウンロードサイト> The OpenSSL Project http://www.openssl.org/ FreeRADIUS: The world's most popular RADIUS Server http://www.freeradius.org/ <OpenSSLのインストール> # cd /home/ono/radius/src # tar zxvf openssl-0.9.7d.tar.gz # cd openssl-0.9.7d 共有ライブラリの作成と、prefix指定を行ないます。 # ./config --prefix=/usr/local/openssl shared # make # make test # make install
オレオレ証明書をopensslで作る(詳細版) - ろば電子が詰まつてゐる
前回のopensslでRSA暗号と遊ぶでRSA暗号や秘密鍵について中身を色々といじってみた。続いて今回は、Apacheで使うオレオレ証明書を作ってみる。 細かいことはいいから、オレオレ証明書を作るコマンドだけ知りたい お急ぎの方は、以下3つだけやれば良い。これで10年間(3650日)有効なオレオレ証明書ができあがる。 $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr $ openssl x509 -days 3650 -req -signkey server.key < server.csr > server.crtできあがったserver.crtとserver.keyを、例えば/etc/httpd/conf/ 配下のssl.crt/ と ssl.key/ ディレクトリに設置
無償SSLサーバー証明書Let’s Encryptの普及とHTTP/2および常時SSL化 | OSDN Magazine
Webサイトの暗号化(SSL化、HTTPS対応)はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2&SSL化の実装例も紹介していく。 これまで証明書の無償入手は限定的 HTTPSのWebサイトを運用するには通常、商用の認証局にSSLサーバー証明書の発行を申し込み、必ず費用が発生するものだった。一部限定した目的では無償で利用でき
『婚活パーティーに申し込んだら、SSL非対応のサイトでクレジット決済だった』
中小企業IT担当者 菅雄一のブログ 現役のIT担当者で、オープンソースを活用した中小企業のIT化を提唱している菅雄一のブログです。 話題はオープンソース、中小企業のIT化、中小企業の現場の話などを書いています。 うかつだったが、恐ろしい話なので、体験談を書きます。 facecookにリッツカールトンでお見合いパーティー、特別3000円の広告があった。 (2015年5月4日時点) 申し込もうとしたら、クレジット決済だった。 何も考えずに申し込んだ。だが気づいた。SSL非対応のサイトだ。 (2015年5月4日時点) (2015年5月4日時点) そして確認メールが来た。 私の平文で私のクレジット番号が全て書かれているメールだった。 途中の経路で盗聴されている危険性があると思い、大慌てでカード会社に連絡。 カードを停止してもらった。 翌日、パーティ主催の会社から電話がかかる。 「理由はわかりません
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
なぜTheo de RaadtはIETFに激怒しているのか
本の虫: OpenBSD、怒りのコミットで、OpenBSDのTheo de RaadtがIETFに対して激怒している。 src/lib/libssl/ssl/Makefile - view - 1.29 SegglemannのRFC520 heatbeatを無効化。 あのまともなプロトコルひとつ制定できないIETFの無能集団が、超重要なプロトコルで64Kの穴をこしらえるとか、マジであきれてものも言えねーわ。奴らはマジこの問題を本気で検証すべきだろ。なんでこんなことをしでかしたのか。こんな事態を承認した責任ある連中を全員、意思決定プロセスから取り除く必要がある。IETF、てめーは信用なんねぇ。 なぜTheo de Raadtは、OpenSSLではなく、IETFに対して激怒しているのか。IETFというのは、インターネット上の規格制定の団体である。今回、世上を騒がせているHeartbeat問題は
SSLページでブラウザにセキュリティ警告メッセージを出させないコツ « DRYOUT プログラマー社員のブログ
URL が https:// から始まる SSL ページを閲覧すると、希にこんなエラーが表示されてしまう場合や、ブラウザのアドレス バーに鍵マークが表示されない場合があります。 ブラウザ別の警告メッセージ一覧: IE: このページには、安全な HTTPS 接続を使用しないで配信されるコンテンツが含まれており、Wen ページ全体のセキュリティを損なうおそれがあります。 Opera: への接続は保護されていないため、重要な情報を送受信しないでください。サーバーはセキュリティ保護を適用しようとしましたが失敗しました。 Firefox: この Web サイトとの通信は一部しか暗号化されておらず、第三者に盗み見られないようにはなっていません。 これは、警告メッセージからも分かるとおり、SSLページなのにページ内に「非SSLコンテンツ (http://)」が混在していること(逆のパターンもある)が原因
Qualys SSL Labs
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
yebo blog: OpenSSLの裏技
2011/11/30 OpenSSLの裏技 SSL/TLSを実装したツール「OpenSSL」そのものを普段使うことはないが、OpenSSLをファイルの暗号化などにも使えるよという指摘[wazi]。例えば、256ビット鍵のAESでファイルを暗号化・復号化する場合、opensslを次のように使う。 $ openssl aes-256-cbc -salt -in file-test -out file-test.aes enter aes-256-cbc encryption password: Verifying - enter aes-256-cbc encryption password: $ openssl aes-256-cbc -d -in file-test.aes -out file-test-dec enter aes-256-cbc decryption password:
不正な電子証明書発行に関する問題について:IPA 独立行政法人 情報処理推進機構
オランダの DigiNotar 社をはじめとする複数の認証局(電子証明書(*1)を発行する組織)に対し攻撃が行われ、攻撃者が不正に電子証明書を入手したという問題が発生しています。 この問題により、悪意のある者が不正な電子証明書を使用して構築した不正な(罠の)ウェブサイトにアクセスした際に、利用者のブラウザ等で正当な電子証明書であると判定してしまいます。 結果として、利用者がウェブブラウザの表示を信用して不正なウェブサイトで個人情報等を入力してしまうことにより、入力した情報等が悪意のある者に盗まれてしまうという被害に繋がる可能性があります。 対策として、各ベンダが提供している修正プログラムの適用および最新版へのアップデートを行ってください。 *1 ウェブサイトの信ぴょう性を証明する「サーバ証明書」など、データやサーバ、通信の安全性を担保するもの。 ・Windows XP ・Windows V
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
