2016年7月27日 各位 一般社団法人日本ネットワークインフォメーションセンター 障害報告:サーバ証明書が意図せずに失効されたことによる JPNIC Webの閲覧不可について(第一報) 2016年7月22日(金)午後に、 JPNICのWebサーバに発行されているサーバ証明書がJPNICの意図しない形で失効されたことにより、 その時刻から23日(土)午前10:49までの間、 JPNIC Webが正常に閲覧できない状態になりました。 障害の発生を確認した後、事態について状況を把握するために、 慎重な調査および照会を行いました結果、第一報が遅れました。 皆様にご迷惑をおかけしましたこともあわせ、お詫び申し上げます。 記 閲覧できなかった日時とサービス 2016年7月22日(金) 午後 ~ 7月23日(土) 午前10:49 JPNIC Web (https://www.nic.ad.jp/) お
はじめに はじめまして、サイバートラストの坂田です。SSL サーバー証明書のサポートデスクでテクニカルサポートを主に担当しています。 このたび、さくらのナレッジに寄稿させていただくこととなりました。どうぞ、よろしくお願いいたします。 さて、今回は私がお客様からよく聞かれる、SSL/TLS (以降は、SSL だけに省略して記載します)に関するお話を以下の 2 本立てでご紹介します。 SHA-1 証明書の規制・影響の振り返りと最新動向 SSL 接続時によくあるセキュリティ警告・エラーとその対策 なお、SSL に関する基本的なお話は当社の坂本が寄稿している「改めて知ろう、SSLサーバー証明書とは?」シリーズをご一読ください。 第 1 部: SHA-1 証明書の規制・影響の振り返りと最新動向 SHA-1 証明書の規制の振り返り まず、SHA-1 証明書(署名アルゴリズムが SHA-1 の SSL
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
Googleのセキュリティチームは米国時間10月14日、Secure Sockets Layer(SSL) 3.0に深刻なセキュリティ脆弱性があることを明らかにした。SSL 3.0はかなり前に導入された暗号化プロトコルでありながら、依然として多く使用されている。 同チームのBodo Möller氏によると、「この脆弱性により、セキュアな接続のプレーンテキストがネットワーク攻撃者によって割り出される恐れがある」という。 SSL 3.0はTLS 1.0、TLS 1.1、TLS 1.2に引き継がれてきたが、TLS実装の多くがレガシーシステムに対応し、ユーザーエクスペリエンスを円滑化するために、SSL 3.0との下位互換性を維持している。 通常、このセキュリティプロトコルのハンドシェークは、認証されたバージョンのネゴシエーションを行う。このようにして、クライアントとサーバの両方に共通する最新のプロ
The latest news and insights from Google on security and safety on the Internet Anonymous said... Does this apply to SSLv2 as well? October 14, 2014 at 7:39 PM Scott Ruebush said... I can't wait to see POODLE take over the internet! Thank goodness we have heroes to save us from the evils of SSL 3.0 and such and such, etc. October 14, 2014 at 8:52 PM Paul said... Not sure how to enable TLS_FALLBACK
「google.com」「.google.co.jp」などのドメイン用の不正証明書が発行されていたことが分かり、Google、Microsoft、Mozillaが対応を表明した。 米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。 Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。 電子証明書は、ユーザーがアクセスしているWebサイトが本物であることを確認するために使われる。不正な証明書を利用すれば、偽サイトであってもWebブラウザの警告が表示されず、ユーザーがだまされて個人情報などを入力してし
今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。 この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。 インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄
8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
In Visual Studio 2022 17.10 Preview 2, we’ve introduced some UX updates and usability improvements to the Connection Manager. With these updates we provide a more seamless experience when connecting to remote systems and/or debugging failed connections. Please install the latest Preview to try it out. Read on to learn what the Connection ...
危険なDNSキャッシュサーバとして登録されているサーバをお使いではないようで、 ひとまずは安心です。 危険なサーバを使っているときには alert.qmail.jp のような表示になります。 moin.qmail.jp,gs.qmail.jpにはhttpsをお使いください。 ログインしていただくときにパスワードが漏れないようにするのが目的です。 自己証明ですが、ご勘弁ください。 http://www.e-ontap.com/blog/20110208.html#c10からの引用開始 なお、moin.qmail.jp の証明書のSHA1ハッシュは、 58:EF:65:BC:D1:0D:C8:DC:49:04:F4:B7:B3:43:AF:12:53:2C:B6:F2 です。 引用終了 twitter account #beyondDNS の profile にも書いてあります。 証明書を確認
Mozillaは米国時間9月8日、公開書簡のなかで、認証局(CA)に対して1週間の間にセキュリティを改善する措置をとるよう求めた。 MozillaのCA認証モジュール責任者であるKathleen Wilson氏はこの書簡で「Mozillaのルートプログラムへの参加はわれわれが単独で裁量でき、われわれはユーザーの安全を保護するために必要なあらゆる手段をとるつもりだ」と述べている。 この書簡は、オランダの認証局であるDigiNotarが先週、7月19日の時点でシステムに侵入されて500以上の不正な証明書の発行を許したと認めたことを受けたものだ。Wilson氏は、Mozillaは最近DigiNotarのルート証明書を削除したと述べている。 Wilson氏は、Mozillaは認証局に対し、公開鍵基盤(PKI)の監査と侵入や侵害のチェック、複数のCAによって署名された証明書の一覧表の提供、証明書を発
2011/09/08 オランダの認証局DigiNotarが不正アクセスを受け、偽のSSL証明書を発行していた問題は、さまざまなところに影響を及ぼしている。 この被害は8月29日に明らかになった。米Googleのメールサービス「Gmail」のユーザーに対する中間者攻撃の動きがあったことを機に、DigiNotarが不正なSSL証明書を発行していたことが発覚。詳しく調査した結果、DigiNotarの認証局インフラが7月19日に不正アクセスを受け、管理者権限でアクセスされて500以上の偽証明書を発行していたことが明らかになってきた。その中には、google.comのほか、skype.com、twitter.com、www.facebook.comや*.windowsupdate.com、*.wordpress.comなど、広く利用されるドメインが含まれている。またDigiNotarの証明書は、オラ
SSL証明書を発行する認証局を運営するGMOグローバルサインは9月7日、証明書発行業務を停止すると発表した。一連の認証局への不正アクセスについての犯行声明で、アクセスに成功した認証局の1つとして同社を挙げており、「詳細についての調査が終了するまで全証明書の発行を停止する」という。現段階で不正アクセスによる被害は見つかっていないという。 オランダの認証局DigiNotarのシステムが不正侵入され、不正なSSL証明書が発行された事件で、「ComodoHacker」と名乗る人物が5日付けで、アクセスの自ら実行したという声明を“証拠”とともに公開した。 声明では、アクセス可能な認証局として「GlobalSign」が挙げられていた。同社は「声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断」し、全証明書の発行を停止を決めた。 現在利用中の証明書は引き続き利用でき
平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 一連の認証局への不正アクセスの実行犯を名乗る人物により、複数の認証局に対するハッキングを行った旨の声明がなされ、その認証局のひとつとして弊社の名前も挙げられておりました。 声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断し、詳細についての調査が終了するまですべての証明書の発行を停止させていただくことにいたしました。 なお、現在ご利用中の証明書は引き続きご利用いただけます。お客様側での特別な作業は必要ございません。また、現段階において不正アクセスによる具体的な被害は見つかっておりません。 現状、証明書発行業務復旧の目途は立っておりません。証明書発行業務の復旧の目処等、本件に関する追加の情報については、本サイトにてお知らせいたします。 ご利用のお客様には大変なご迷惑をお掛けいたしますこと
オランダの認証局DigiNotarからSSL証明書が不正発行されていた問題で、米Microsoftは米国時間2011年9月6日、DigiNotarの証明書を失効させる措置の対象を拡大した。8月29日に対処した「Windows 7」「Windows Vista」に加え、「Windows XP」と「Windows Server 2003」およびすべてのWindowsアプリケーションにもサポートを広げた。 MicrosoftはDigiNotarのすべての証明書が信用にあたらないと判断し、DigiNotarが発行した証明書を信頼リストから除外する措置をとった。これにより、Windowsユーザーは不正SSL証明書の影響から保護されるとしている。この措置は自動アップデートを介して適用される。 今回の事件は、米GoogleのWebメールサービス「Gmail」のユーザーが、偽サイトにログインさせられそうに
「Comodohacker」として知られるハッカーが、オランダの認証機関DigiNotarへの攻撃を認め、別の認証機関からも不正なデジタル証明書を発行できると述べている。 DigiNotarは、今回の攻撃により、Googleに加え、CIA、MI6、Facebook、Microsoft、Skype、Twitterなど、さまざまな組織に対する不正なSSL証明書を発行したことを認めている。 Comodohackerという名前は、3月に発生した同様のセキュリティ侵害に由来している。当時、米ニュージャージー州に本拠を置いてデジタル証明書を発行しているComodoが同様の攻撃を受け、GoogleやMicrosoftなどの主要なウェブサイトに対する証明書が不正に取得された。 Comodoを攻撃したこのハッカーは4月、米CNETに対し、自分は21歳のイランの愛国者だと語り、米国政府の中東政策に抗議するため
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く