サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
CVE-2022-3786 andCVE-2022-3602: X.509Email address buffer overflows Today we published an advisory aboutCVE-2022-3786 (“X.509Email Address Variable Length Buffer Overflow”) andCVE-2022-3602 (“X.509Email Address 4-byte Buffer Overflow”). Please read the advisory for specific details about theseCVEs and how they might impact you. Thisblog post will address some common questions that we expec
OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202
SSL証明書を無料で発行してくれる認証機関「Let’s Encrypt」は、2014年の設立から安全なインターネットの利用に大きく貢献しています。しかし、ハッカーであり研究者でもあるScott Helme氏は、無料の証明書発行をLet’s Encryptのみに頼っている現状を問題として取り上げ、Let’s Encryptの代替となるサービスを紹介しています。 Introducing another free CA as an alternative to Let's Encrypt https://scotthelme.co.uk/introducing-another-free-ca-as-an-alternative-to-lets-encrypt/ Free SSLCertificates and SSL Tools - ZeroSSL https://zerossl.com/ L
マイクロソフトのクラウドサービス「Microsoft Teams」がサーバ証明書を更新し忘れ。2時間のあいだユーザーからアクセスできなくなる障害発生 マイクロソフトがチャットサービスとして提供する「Microsoft Teams」は、急速に人気を高めているSlackに対抗するべくマイクロソフトが力を入れているサービスのひとつです。 先月、1月9日には日本の民事訴訟手続きにおけるIT化を推進するため、Web会議やコラボレーション用ツールとしてMicrosoft Teamsが採用されたと発表されています。 そのMicrosoft Teamsが日本時間2月3日夜11時19分から翌2月4日午前1時19分の少なくとも2時間、ユーザーからアクセスできなくなるという障害を起こしていました。 マイクロソフトによると、その原因はサーバ証明書の更新し忘れによる期限切れであることが明らかになっています。 SSL
あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる) 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも
$ ssh git@github.com The authenticity of host 'github.com (192.30.255.112)' can't be established. RSA key fingerprint is SHA256:nThbg6kXUpJWGl7E1IGOCspRomTxdCARLviKw6E5SY8. Are you sure you want to continue connecting (yes/no)?githubの場合、以下のページのように公開鍵情報(fingerprint)が公開されていますから、それによって本物の公開鍵(の1つ)であることを確認できるようになっています18。 2種類の鍵とPFS ところで、先ほど「基本的に認証に使われるのは電子署名のみ」という話をしましたが、その理由についても触れておきます。 それには、公開鍵暗号の鍵の
先日開催したHatena Engineer Seminar #10 でも紹介しましたように,はてなブログのHTTPS化を実現するにあたって, 独自ドメインの証明書を取得するためにLet's Encryptの活用を計画しています. そこで,はてなはLet's Encryptを運営する非営利団体, InternetSecurity Research Group(ISRG)へ寄付を実施しました. 今回の寄付は, インターネットのHTTPS化を推進するLet's Encryptというサービスを,はてな社内でははてなブログを含むさまざまなサービスで利用していること, そしてそういった仕組みを無料で提供するISRGの理念と取り組みに敬意を表してのものです. なお, ISRGへの寄付については, これからも継続して実施いたします.はてなでは, 今後もOSSやそれを支援するコミュニティ/組織に
全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。 その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat
by Suzy Hazelwood SSL/TLS証明書の大手認証局であるDigiCertは2018年2月28日に、約2万3000件の証明書を即時失効したと発表しました。失効の理由は、証明書販売代理店のCEOが証明書の秘密鍵を電子メールで送信してしまったためとのことです。 DigiCert Statement on TrusticoCertificate Revocation - DigiCert https://www.digicert.com/blog/digicert-statement-trustico-certificate-revocation/ インターネットが一般家庭に普及し、必要な買い物もインターネットでできるようになりました。その一方で、買い物をするために必要なクレジットカードや個人情報など、他人に知られたくないデータがインターネットを介してやり取りされることも増えた
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当によくできると思いました。フレームワークの意味について考えさられます。 HTTPSの通信 HTTPSの通信はTCP/IPプロトコルスイートとして
「良い本に出会った。感動した。」 by濱田 2014年4月のOpenSSLの脆弱性に起因するHeartbleed事件では、世界中のエンジニアが対応に追われました。この記事を読んでいる人で、あの日のことを懐かしく苦しく思い出す方、多いと思います。自分も例外ではないです。 それだけ広く使われていて、インターネット通信における基礎のSSLですが、皆さん、以下の点にすっきり答えられますか? SSLとTLSの違い SSLが保護するレイヤーは? SSHとの違いは? デジタル署名の「署名」の意味とは? 証明書は「誰」が「なに」を「どうやって」「証明」しているのか? 普段、EC2でキーペア発行したり、証明書導入したりしているエンジニアでも、案外、ここらへんがもやもやしている人も多いのではないでしょうか。 ぶっちゃけ、自分がそうでした。 そんな折に手に取ったこの本が、自分のニーズにばっちこーいでヒットしたの
さくらインターネットの「さくらのレンタルサーバ」、 コントロールパネル上の簡単操作で無料SSL証明書「Let’s Encrypt」を設定可能に 〜「Let's Encrypt」のシルバースポンサーとして参画し、常時SSL化推進に貢献〜 インターネットインフラサービスを提供するさくらインターネット株式会社(本社:大阪府大阪市、代表取締役社長:田中 邦裕)の「さくらのレンタルサーバ」※1において、米国の非営利団体ISRG(InternetSecurity Research Group)が運営する無料のSSLサーバー証明書「Let’s Encrypt」をコントロールパネル上で簡単に設定できる機能を2017年10月17日より提供開始します。また当社は、シルバースポンサーとして「Let’s Encrypt」を支援します。 さまざまな情報が電子化し、個人情報漏えいやフィッシング詐欺などの不正行為被害
Google App EngineでマネージドSSLが全ユーザーに無料提供、HTTPSの導入が簡単に。証明書の更新もGoogleにおまかせで心配無用GoogleはWorld Wide WebにおけるHTTPSの利用を積極的に推進しています。 検索エンジンとしてのGoogleがWebサイトにHTTPSの利用を推奨していることはよく知られていますが、同社はそれをクラウドサービスでも推し進めようとしています。Googleは、Google App EngineでマネージドなSSLを無料で提供すると発表しました。 HTTPSを利用するにはSSL証明書が必要となります。Google App Engineが提供するマネージドSSLでは、ユーザーによるSSL証明書の購入や更新といった手間は不要になり、手間も費用もすべてGoogleが提供してくれます。 We’ve made using HTTPS si
お客様各位 スターバックスコーヒー ジャパン 株式会社 弊社ホームページにおけるセキュリティ強化に関する重要なお知らせ 平素より弊社をご愛顧賜り、厚く御礼申し上げます。 このたび、弊社では、お客様の情報保護を第一に考え、通信の安全性を確保するために、弊社ホームページにおける「TLS1.0/1.1」を無効化することといたしました。 これにより、一部の端末やブラウザ(インターネット閲覧ソフト)からは、サイトの閲覧およびサービスの利用ができなくなりますのでご確認ください。 ■影響がある主なご利用環境 ・スマートフォン iOS4以前、およびAndroid 4.4以前の端末における標準ブラウザ環境 ・パソコン Internet Explorer 10.0 以前のブラウザ環境 ■対象ページ 弊社公式ホームページ内の、「https」で始まるアドレスのWebページ(My Starbucksマイページ、ス
By Josh Aas, ISRG Executive Director · July 6, 2017 Update, March 13, 2018 Wildcardcertificate support is live. Let’s Encrypt will begin issuing wildcardcertificates in January of 2018. Wildcardcertificates are a commonly requested feature and we understand that there are some use cases where they make HTTPS deployment easier. Our hope is that offering wildcards will help to accelerate the Web’
インターネットで可能性をつなげる、ひろげる 私たちは、ひとりひとりが持つ力や可能性をひろげるために、インターネットと表現の可能性を追求しながらサービスを運営していくこと、 そして新しいものを生み出していくことでいろんな人たちがインターネットで可能性を開花し、活躍できるための環境を創造していきます。 企業情報
(初めに言い訳しておくと、証明書界隈については詳しくないです。某誤訳量産サイトが適当な記事を書いていたので、なにか書かねばと思って書いているという程度のまとめ記事です。間違いなどあればご指摘ください) 何が起こるのか Ryan Sleeviさん(Googleの人)がBlink-devのメーリングリストに投稿したこれにまとまっています:https://groups.google.com/a/chromium.org/d/msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ 経緯についてはいったん飛ばして、どのようなアクションが提案されているのか見ます。 To restore confidence andsecurity of our users, we propose the following steps: A reduction in the accepted
Description [2017年4月20日更新] GoogleChrome 58 にて、バグが改修されたことを確認いたしました。 【概要】GoogleChrome の最新バージョン 57 において、Managed PKI for SSL から発行された EVSSL証明書をご利用いただいているにも関わらずアドレスバーに組織名が表示されないバグが発生しました。 この問題はGoogleChrome 57 においてのみ発生しています。 【影響】GoogleChrome 57 で、以下の発生原因に該当する順序で証明書ポリシーが記載されたEVSSL証明書のサイトへアクセスした場合、アドレスバーの左側に組織名が表示されず、「保護された通信」という文言のみ表示されます。 【発生原因】GoogleChrome 57 では、証明書ポリシー(OID 2.5.29.32) が次の順序で
Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。 シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証(EV)ステータスの認識を停止することです。 シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。 SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザー
こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み) Ivan Ristić 著、齋藤孝道 監訳 520ページ B5判 ISBN:978-4-908686-00-9電子書籍の形式:PDF 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み)本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます 現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
