脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(本件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,本件サイトの運用業務を月額20万円で委託した(本件契約)。本件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「本件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,本件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から本件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(本件情報漏えい)
2018年9月13日 OpenSSL 1.1.1がLTSでリリース、TLS 1.3のサポートも | gihyo.jp
Linux Daily Topics 2018年9月13日OpenSSL 1.1.1がLTSでリリース、TLS 1.3のサポートも OpenSSL開発チームは9月11日(米国時間)、「OpenSSL 1.1.1」のリリースを発表した。前バージョンから2年の開発期間を経てのリリースで、5年間のサポートを保証するLTS(Long Term Support)バージョンとして提供される。 OpenSSL 1.1.1 Is Released - OpenSSL Blog OpenSSL 1.1.1では、2018年8月にIETFに「RFC8446」として承認されたばかりの「TLS 1.3」がサポートされており、セキュリティやパフォーマンスの大幅な向上が実現している。とくに「0-RTT」と呼ばれるハンドシェイクプロトコルの拡張機能により、クライアントは通信の準備に必要なラウンドトリップを省略できる
「SSL/TLS暗号設定ガイドライン 第2.0版」を読んで - ぼちぼち日記
1. はじめに 昨日「SSL/TLS暗号設定ガイドライン 第2.0版」が公開されました。 前回から約3年経って今回はCRYPTREC暗号技術活用委員会で検討作業が行われたようです。 普段、TLS/HTTPSの記事を書いたり発表したりしている立場上、これを見逃すわけにはいけません。 本文冒頭では、 「本ガイドラインは、2018 年 3 月時点における、SSL/TLS 通信での安全性と可用性(相互接続性)のバランスを踏まえた SSL/TLS サーバの設定方法を示すものである。」 ということなので、できたてほっかほっかの最新ガイドラインを読ませていただきました。 読み進めてみるとChangelogが細かく書いてなく、以前のバージョンとどこがどう変わったのかよくわかりません。TLS1.3とかは絶対に新しく入った内容なんですが、細かいところはどうだろう… それでも全部(SSL-VPNを除く)をざっと
『OpenSSLクックブック』提供開始のお知らせ
ご来店ありがとうございます。 本日より、『プロフェッショナルSSL/TLS』(2017年3月発行)からスピンオフしたミニブック『OpenSSLクックブック』の提供を開始しました。購入ページからカートに追加していただくことで、どなたでも無償でダウンロードが可能です(クレジットカード情報は不要ですが、直販サイトの購入フローを経由する関係で、お名前の欄と住所の欄への入力はお願いいたします)。 同書は『プロフェッショナルSSL/TLS』の原書である‟Bulletproof SSL and TLS”からOpenSSLに関する章を抜き出して再編された‟OpenSSL Cookbook”の翻訳に相当し、『プロフェッショナルSSL/TLS』の「第11章 OpenSSL」と「第12章 OpenSSLによるテスト」加え、SSL Labsで公開されている ‟SSL/TLS Deployment Best Pra
nginx-buildのLibreSSL対応をした
nginx-buildというGo製のソフトウェアがあります。名前の通りnginxをbuildするために使用するソフトウェアです。そのnginx-buildでLibreSSLの静的リンクが簡単にできるようにするPRをマージしてもらえました。 コメントにも書いたように、今までのコードはコンパイルオプションに渡すオプション名とソフトウェア名が一致している事が前提になっていました。しかしLibreSSLのオプション名は — with-opensslで一致しません。またOpenSSLと同様のオプションを付与しなければならないのでところどころ特別扱いしています。その辺りが一筋縄では行かないので少し面倒でした。 nginxとLibreSSLについて少し書いてみます。 nginxは大体のOSの標準パッケージで入るので適当に利用したいだけなら標準パッケージから入れれば十分です。しかしnginxはApache
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
OpenSSL/InternetWeek2014 - kurushima @ 自堕落な技術者のヰキ(公開版)
InternetWeek2014:S14 サイト管理者が知っておくべきSSLの秘孔(ツボ) 講演「サーバーのSSL/TLS設定のツボ」サポートページ ニュース 2014.11.24 23:00 講演で紹介した3分類でのApache HTTP Server, nginx, lighttpdの設定方法を公開しました。 2014.11.21 12:18 講演資料の一般公開は来年1月になると聞いております。 2014.11.21 11:21 設定ファイルサンプル等は今週末(11/22-24)追加させて頂く予定です。また、パネル用に準備してボツになった情報などもブログ公開する予定ですので、しばしお待ちを。 ほぼコピペで使える(はずの)設定例 Apache HTTP Serverの設定 最新ブラウザ対応設定 レガシーを含む高互換性対応設定(RC4危殆化重視) レガシーを含む高互換性対応設定(BEAST
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
