次の記事でMarkDownで書きなおしてみた 理由が記載されていない設定例しか見当たらなかったのでメモしておく。2013/9時点の理解。 Apacheでも名前の読替えで全て同じ設定が可能。 ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AESGCM:SHA384:SHA256:@STRENGTH:RC4:HIGH:!EXP:!LOW:!MD5:!aNULL:!eNULL:!KRB5:!PSK:!SRP;ssl_prefer_server_ciphers on; ssl_stapling on; add_header Strict-Transport-Security max-age=31536000; 暗号方式は ・RC4 > CBC (BEASTの方が重大と考える)なら、上記の通り。 ・CBC > RC4 (RC4の危殆化が
日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマ、「BEAST攻撃」は、Webでのセキュアな通信を支える暗号化通信の基盤技術であるSSL/TLSの脆弱性を利用して、通信の盗聴とアカウントの乗っ取りを実現してしまう高度な攻撃方法。インターネットの商業利用の信頼性を揺るがす危険性を秘めており、全世界が緊張を高めた攻撃手法です! 1.SSL/TLSの脆弱性を突く「BEAST」とは? 「BEAST」とは「Browser Exploit Against SSL/TLS」の略で、Juliano Rizzo氏とThai Duon
$ cd ~/ $ openssl genrsa 2048 > server.key $ openssl req -new -key server.key > server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the fi
Operators of vulnerable servers need to take action. There is nothing practical that browsers or end-users can do on their own to protect against this attack. Is my site vulnerable? Modern servers and clients use the TLS encryption protocol. However, due to misconfigurations, many servers also still support SSLv2, a 1990s-era predecessor to TLS. This support did not matter in practice, since no up
本日、AWSがSSL/TLS証明書のマネージドサービスをリリースしたので早速使ってみました。 New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS | AWS Official Blog リリース情報、ドキュメントより ACM takes care of the complexity surrounding the provisioning, deployment, and renewal of digital certificates 証明書のプロビジョニング, デプロイ, 更新を管理してくれるとのこと。 Certificates provided by ACM are verified by Amazon’s certificate authority (CA) AmazonのCAによってベリファイされた証明書
Nginx + Luaを用いた、ハイパフォーマンスで動的なプロキシサーバを考察中です。 そのための施策の一つとして 上流サーバへのアクセスをKeepAliveする という方法がありますが その際、プロキシサーバにどの程度性能に変化があるのかを調査してみました。 リバースプロキシのkeepalive設定 前提条件として Nginx > 1.1.4 が必要。 upstreamに keepalive というattributeがあるのでそれを設定します。 それと同時に、プロキシヘッダーにHTTP/1.1設定などを行いましょう。 ちなみにproxy_passだけだとkeepaliveできないようです。upstream必須。 あと、もちろんバックエンドサーバ側もkeepalive設定しておきます。 upstream http_backend { server oreore.micro.service;
Data (データ部) Version (X509のバージョン) Serial Number (シリアルナンバー) これにより同一CAで同一機関への証明書を2度作っても区別できる Signature Algorithm Signature Algorithm (CAが利用する暗号化アルゴリズム) Issuer (証明書の発行者) Validity (有効期限) Not BeforeからNot Afterまで有効 Subject (証明される対象) Subject Public Key Info (証明される対象の公開鍵に関する情報) Public Key Algorithm (公開鍵のアルゴリズム) RSA Public Key (公開鍵) X509v3 extensions (X509 Version.3の拡張部) X509v3 Subject Key Identifier (サブジェク
CA certificate filename (or enter to create) Making CA certificate ... Generating a 2048 bit RSA private key ..................................................................................................................................................................+++ ................................................................+++ writing new private key to '/etc/pki/CA/private/./cakey.p
Check your CSR Remove cross certificates View browser warnings Check certificate installation Search certificate logs Check your SSL/TLS certificate installation Enter the URL of the server that you want to check.
CDNが単一障害点にならないようにするために ヌーラボでは 2010 年 Cacoo の商用サービスの開始に合わせて AWS における運用を開始しました。当時、運用環境として AWS を採択する決め手の一つになったのが CloudFront でした。その後も着々とエッジロケーションは増え、独自ドメインのサポートなど魅力的な機能も提供され、今ではヌーラボの全サービスの静的ファイルの配信で利用している、無くてはならないサービスとなっています。 その魅力の反面、CloudFront の障害は、アプリケーションそのものに問題がなくても、以下のような表示が崩れた画面が表示されて、ユーザが全くサービスを使えなくなるという、その影響が非常に大きいものです。また障害の原因が DNS やネットワークの経路における問題といった、私たちが直接解決しにくい領域にあることもしばしばです。 ただ、どんな事情であれ、障
SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ SSL 3.0 に存在する脆弱性、通称 「POODLE」 に関連して、自分が管理している Web サーバ (Apache) の SSL 3.0 を無効にした際の設定方法と、各ブラウザごとに SSL 3.0 を無効にする方法などをまとめています。 2014年 10月 14日 に発表された「Secure Sockets Layer(SSL)」のバージョン 3.0 (SSL 3.0) に存在する脆弱性 (CVE-2014-3566)、通称 「POODLE (Padding Oracle On Downgraded Legacy Encryption)」 ですが、これに関連して、自分で管理している Web サーバ (Apache) の SSL 3.0 を無効にしました。 そ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
中の人に裏を取ったわけではなく私の推測です。間違っているかもしれません。 2010年11月から2011年5月末までの状況(gitやwgetでcertification error) 2010年11月頃、GitHubではすべてのアクセスにSSLを使うよう仕様が変わった。 この時、SSL証明書にはワイルドカード証明書(*.github.com)が使われていた。 *.github.comのワイルドカード証明書にgithub.comは含まれないのだが、SSL証明書にはX509v3 Subject Alternative Name(subjectAltName)が設定されている*1ため、subjectAltNameに対応したクライアントであれば問題ない。 しかし、wgetの最新版1.12はsubjectAltNameに未対応*2。wgetではcertification errorが出ていた。 参考
Automate complex infrastructure tasks so you can get back to what really matters
Command Line mitmproxy is your swiss-army knife for debugging, testing, privacy measurements, and penetration testing. It can be used to intercept, inspect, modify and replay web traffic such as HTTP/1, HTTP/2, HTTP/3, WebSockets, or any other SSL/TLS-protected protocols. You can prettify and decode a variety of message types ranging from HTML to Protobuf, intercept specific messages on-the-fly, m
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く