皆様こんにちは。 休日は12時間くらい寝てしまう、システムソリューション部所属のなかです。 ショートスリーパーに憧れますね。 今回は以前より書いている「opensslコマンドでSSL証明書を確認する」記事の派生です。 下記記事内で、「◯本記事で使用する拡張子」という記載で使用する拡張子について明記しました。 これは「証明書や鍵の拡張子は環境・人によって違うことがあるため」に書いた前置きです。 opensslコマンドでの証明書の整合性と検証結果の確認方法・オプション解説 そうなると、「証明書や秘密鍵の拡張子はなぜ違う事があるのか」と思う方がいるかと思いますので、 「違う事がある理由」について「拡張子の種類」「データ形式」も交えてご説明していきたいと思います。 合わせて「ではどう対応すべきだろう」と悩む点に関しての個人的な対応策も考えてみました。 実行環境 Linux環境 OS:AlmaLin
表題の通りでCentos6.7 Final で yum をすると[Errno 14] problem making ssl connectionとなります この解決方法は割と情報があっていつも以下の通りで直るのですが今回は直りませんでした なにかリポジトリ等が変わったりしたのでしょうかご存じの方お教え下さいませ https://ex1.m-yabe.com/archives/5979 #sedコマンドでファイルをvaultに書き換え。 #mirrorlist= の行をコメントにし、baseurl= のホスト名を「vault.centos.org」に変更しコメントを外す。 # sed -i -e "s/^mirrorlist=https:\/\/siteproxy.ruqli.workers.dev:443\/http\/mirrorlist.centos.org/#mirrorlist=https:\/\/siteproxy.ruqli.workers.dev:443\/http\/mirrorlist.centos.org/g" /etc/yu
![Centos6.7 で yum をすると[Errno 14] problem making ssl connectionとなる](https://cdn-ak-scissors.b.st-hatena.com/image/square/d61d99447f3434c475f38686e3fcb4f6ab93528f/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fteratail.com%2Fimg%2FogpImages%2FimgFacebookShare.png)
現象 Ubuntu20.04に上げてから、pythonのrequestsを使ってSSL通信しようとしたところ、bad handshakeのエラー。 requests.exceptions.SSLError: HTTPSConnectionPool(host='xxx.com', port=443): Max retries exceeded with url: /brabra.html (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', 'tls12_check_peer_sigalg', 'wrong signature type')])"))) 軽く調べると、/etc/ssl/openssl.cnfのDEFAULT@SECLEVEL=2を1に変えれば解決する、と書いてあるが、ファイルを見たところそのよ
弊社では(既製の製品ではなく)独自開発したWebアプリスキャナを使用しており、品質や作業効率の向上のため、そのツールを毎年少しずつ改善させています(開発には主に筆者があたっています)。 本記事では、今年(2020年)の4~6月に開発した「XSSのトドメを刺す」機能について簡単に紹介します。 機能の概要 XSSの「トドメを刺す」というのは、ちゃんとJavaScriptが動作しそうな値を自動で生成して送り、それが本当に動きそうかを自動で確認することを指しています。 トドメ機能が実現する前は、記号等が含まれる値を送信し、それが反射する箇所の文脈(コンテキスト)の情報と、出力に施されるエンコードやフィルタの情報だけをもって脆弱性の有無を判断していました。例えば、通常の要素内容テキストにパラメータの値が反射するケースで言えば、基本的にツールが確認するのは「<」が反射するか否かまでで、実際に有意なタグ
sudo certbot certonly --manual --preferred-challenges dns -d *.ドメイン名 --server https://acme-v02.api.letsencrypt.org/directory --register-unsafely-without-email 証明書一式は /etc/letsencrypt/live/ドメイン名 配下のディレクトリにできるはず。 このディレクトリ、root 権限でないとアクセスできないので注意。 pem ファイルを pfx ファイルにする
本記事は Google Cloud Platform Advent Calendar 2020 の 12日目です。 GCP にはマネージドの SSL 証明書が HTTPS ロードバランサでサポートされています。 blog.jicoman.info マネージドであれば SSL 証明書の管理や更新を GCP でやってくれるので大変便利ですが、要件によってはセルフマネージド(自分で SSL 証明書を購入して更新する)が必要になる場合があります。例えば以下の場合です。 内部 HTTPS ロードバランサで SSL 証明書を使いたい場合 ワイルドカード SSL 証明書を使いたい場合 組織認証(OV)、拡張認証(EV)証明書を使いたい場合 GCP でセルフマネージド SSL 証明書を更新するのが意外と手間だったのでその手順についてまとめました。今回はワイルドカード SSL 証明書を発行して、外部 HTT
みなさん、どうやって nginx.conf を書いてますか。 私は DigitalOcean のジェネレーターを使う方法が最も好きです。 さてここで、TLS関係の設定が多数生成されますよね。でも、それぞれ何を設定しているのでしょうか? http { # SSL ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites ssl_dhparam /etc/nginx/dhparam.pem; # Mozilla Intermediate configuration ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM
Avoiding downtime: modern alternatives to outdated certificate pinning practices2024-07-29 In today’s world, technology is quickly evolving and some practices that were once considered the gold standard are quickly becoming outdated. At Cloudflare, we stay close to industry changes to ensure that we can provide the best solutions to our customers. One practice that we’re continuing to see in use t
こんにちは、じんないです。 AlmaLinux 9.2 でプライベート認証局を構成し、SSL VPN で使用するクライアント証明書 (pkcs#12形式) を発行していました。 しかし、Windows 端末には正常にインポートできますが、Mac 端末にはインポートできないという事象が発生しました。 Mac 端末に取り込むと「パスワードが違います。」というエラーが出ます。 証明書インポート時のエラー 何度試してもインポートできず、パスワードを打ち間違えている様子もなさそうです。 Windows 端末にインポートしたものと同じ証明書を使っているので、証明書がおかしいということも考えにくいです。 いろいろと調査していると OpenSSL のバージョン (暗号化アルゴリズム) が関係していそうだとわかりましたので、そのあたりをまとめておきます。 想定環境 プライベート認証局 (CA) OS: Al
Webブラウザの Google Chromeが2017年10月より、通信が暗号化されないHTTP接続を使ったWebサイトに対する警告をURLバーに表示するよう仕様変更されました。 これまでは個人情報を送信するフォームへだけが対象でしたが、今後はどんどん対象が広まっていくという事で、Web運営者の間ではちょっとした騒ぎになりました。 ところで、Webサイトの常時SSL化はどこまで暗号化されるのでしょうか? もし、完全に暗号化されるのであれば通信内容を覗き見出来なくなるので、職場で仕事に関係のないサイトを見ていてもシステム管理者(=会社)にバレない!という事になりそうですが、少し気になったので調べてみました。 スポンサーリンク 職場からHTTPサイトを見た場合 まずは職場から暗号化されていないHTTPサイトを見た場合の通信を傍受してみます。 クライアント(192.168.0.1)からHTTPサ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
OpenSSLがGUIだったら
► 2014 (94) 8月 (3) 9月 (22) 10月 (22) 11月 (25) 12月 (22) ► 2015 (280) 1月 (18) 2月 (20) 3月 (32) 4月 (13) 5月 (28) 6月 (34) 7月 (23) 8月 (30) 9月 (24) 10月 (13) 11月 (20) 12月 (25) ► 2016 (362) 1月 (27) 2月 (17) 3月 (29) 4月 (28) 5月 (33) 6月 (18) 7月 (24) 8月 (29) 9月 (38) 10月 (36) 11月 (37) 12月 (46) ► 2017 (578) 1月 (41) 2月 (53) 3月 (51) 4月 (44) 5月 (52) 6月 (46) 7月 (50) 8月 (51) 9月 (51) 10月 (49) 11月 (47) 12月 (43) ► 2018 (47
いわさです。 Azure Static Web Appsは静的Webサイトをホストするにはとてもおすすめできるサービスです。 これだけの高機能で無料というのが驚きですが、最近知ったのがカスタムドメインとSSL証明書についても無料という点です。 Azure App Serviceだとカスタムドメインは無料プランでは利用出来なかったと記憶していますし、無料のカスタムドメインSSL証明書も最近登場したものでかつ利用の前提として有料のApp Serivceが必要だったと認識しています。 今回は所有しているドメインがあったので、カスタムドメインを設定してみました。 また、あわせてSSL証明書の確認とデフォルトドメインにアクセスできないようにもしました。 静的Webアプリ作成 Static Web Appsについては以前に作成していますが、同じ流れで作成したいと思います。 カスタムドメインはFreeで
はじめに tcpdump や Proxy を使わずに Wireshark だけで TLS 通信の復号に成功しました。たくさんの人が同じようなことをやっていますが、自分用メモとして残しておきます。OS は Windows10 、ブラウザは Chrome です。 設定手順 TLS で暗号化する際に生成した鍵情報をファイルに出力する Windowsキー + R で「ファイル名を指定して実行」画面を出し、「control」と入力して「OK」を押します。 「システムとセキュリティ」をクリックします。 「システム」をクリックします。 「システムの詳細設定」をクリックします。 「詳細設定」タブ → 「環境変数」をクリックします。 「システム環境変数」の「新規」をクリックします。 以下のように入力します。 変数名 SSLKEYLOGFILE 変数値 C:\temp\tls.keys 変数値は存在するパスな
全てのページを「https://」で呼び出すよう調整することで、全ページをSSL暗号化通信で保護するようになります。 その調整方法として、本マニュアルではHTTP301リダイレクトを紹介します。 ※本手順は一例であり動作を保証するものではございません。 あくまでも参考情報としてご参照いただき、詳細はApacheのドキュメント等をご参照ください。 証明書が有効期限切れになった状態でhttps接続をすると、ブラウザが警告を表示するようになり、サイト閲覧者に不信感を与えてしまいます。 警告を回避するためには、新たに証明書を発行してインストールする必要があります。 httpd.conf内に、以下のように記述します。 RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_U
WordPressの次期バージョンとなるWordPress 5.7では、ワンクリックでHTTPからHTTPSへの移行が可能になる。WordPress Tavernが2月2日(米国時間)の記事「WordPress 5.7 Will Make It Easier to Migrate From HTTP to HTTPS – WordPress Tavern」において伝えている。新バージョンでは、ユーザーのホスティング環境がHTTPSをサポートしている場合にそれを検出し、ワンクリックで内部の設定やコンテンツをHTTPS対応に書き換えることが可能になるという。 現在HTTPで稼働中のWordPressをHTTPSへ移行するには、サイトのアドレスを「https」に書き換えるだけでなく、既存のコンテンツへの参照URLをすべて更新する必要がある。自動的に変換したい場合は、コアUIでは不十分で、WP-C
CA/Browser ForumおよびMozillaルートプログラムでは、全ての認証局(CA)が画一された要件の遵守と監査を義務付けられています。重要なコンプライアンスやセキュリティ要件の設定を通じて、ウェブサイトの閲覧者を保護しています。 SSLサーバ証明書の仕様なども度々アップデートがされ、OUフィールドの廃止要件の決定、またECC鍵使用の場合のKey Usageに関する追加情報の発表がありました。本記事では、直近の4つのSSLサーバ証明書の仕様変更について解説します。 SSLサーバ証明書の仕様変更 1. 【2021年10月1日~】認証局(CA)はドメイン名及びIPアドレスの審査を証明書発行以前の398日以内に実施 2. 【2021年12月1日~】ページ認証によるワイルドカード発行の禁止 3. 【2021年7月26日~】ECC鍵のKey Usageに対する変更 4. 【2022年8月3
この記事で実現すること XG Firewallなどの次世代Firewallで利用されているSSL/TLSインスペクションについて、PCやiPhone等(Windows/macOS/Linux/iOS)を防御する仕組み、および必要となる対応を説明します。 SSLインスペクションとはhttps通信では、サーバーとクライアント間がSSLで暗号化されます。SSLというのは本来はTLS(Transport Layer Security)が正しい名称ですが、SSLという言葉が過去より定着しているので、今日でも”SSL証明書”などSSLという言葉は一般的に使われます。この暗号化された通信をIPS(Intrusion Prevension System)は暗号を解読しながらコンテンツの中身の検査を行います。暗号通信の復号化方法としてSSL/TLSインスペクションという方式が採用されています。ここではSSL
General overview Armis has discovered five vulnerabilities in the implementation of TLS communications in multiple models of Aruba and Avaya switches. The vulnerabilities stem from a similar design flaw identified in the TLStorm vulnerabilities (discovered earlier this year by Armis) and expand the reach of TLStorm to potentially millions of additional enterprise-grade network infrastructure devic
Dockerでhttps通信をする方法です。 要点はホスト環境で証明書を作ってコンテナにコピーすることです。 前提 httpのコンテナだけを構築していて、phpのみインストールされている状態です。 httpコンテナは「Dockerfile」を使ってビルドしています。 htmlファイルはホスト環境にあるものをマウントして永続化しています。 具体的には以下のファイル構成/内容です。 最低限ではありませんが、それに近い内容です。 ここからhttps通信もできるようにしていきます。 Mac版での方法ですが、Windows/Linuxでも証明書を作ってコンテナにコピーは変わらないと思います。 # .env # ※今回このファイルはなくても動きますが、設置して最低限「COMPOSE_PROJECT_NAME」を設定しておくことをオススメします。 COMPOSE_PROJECT_NAME=sample
以下の複数の原因からCentOS6.xにインストールしたLetsEncryptのcertbot-autoコマンドが起動できず、SSL証明書の更新が出来なくなりました。新しいOSに引っ越すのが当然ですがとりあえずSSL証明書の更新はしないといけません。 調べてみると同じ条件でないことが多く、完全な解決策を見つけることが出来ませんでした。整理してみると、まず原因は以下の2つかと思います。 2020秋にサポート切れでyumリポジトリが閉鎖され色々ダメになった certbot-autoコマンドがpython3.5以上でないと動かなくなった これを解決するため色々とみなさん試行錯誤されているようです。かくいう私もSSLの期限が迫っている数台のサーバーを何とかせねばならず焦っていました。調査したサーバーの主な環境は、 CentOS 6.10 Apache 2.2 https://certbot.eff
新しい CA 証明書を使用するように DB インスタンスを更新する前に、RDS データベースに接続するクライアントまたはアプリケーションを必ず更新します。 証明書を更新する際の考慮事項 証明書を更新する前に、次の状況を考慮してください。 Amazon RDS Proxy および Aurora Serverless v1 は AWS Certificate Manager (ACM) の証明書を使用します。RDS Proxy を使用している場合は、SSL/TLS 証明書を更新するときに、RDS Proxy 接続を使用するアプリケーションを更新する必要はありません。詳細については、「RDS Proxy での TLS/SSL の使用」を参照してください。 Aurora Serverless v1 を使用している場合は、Amazon RDS 証明書をダウンロードする必要はありません。詳細については
この資料は定期的に更新される 概要 Erlang/OTP を GitHub にあるソースコードからビルドして利用する方法についてまとめている。 前提 株式会社時雨堂 の商用製品向けのビルド設定 パッケージングに利用する Erlang/OTP は OpenSSL を dynamic link しない OpenSSL 最新版を自前ビルドする 利用していないモジュールはビルドしない jinterface odbc wx debugger observer et tftp ftp megaco eldap diameter jinterface mnesia snmp ssh erl_docgen mnesia GitHub から clone してきてビルドする Linux 古いカーネルは利用しないほうがいい Ubuntu 24.04 x86_64 | arm64 apt install buil
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL/TLS 証明書のローテーション - Amazon Aurora