GPKIよ、おととい来やがれ!(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録
はじめに 煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。 一応 GPKIとはなにか? - IT digitalforensic.jp の内容が理解できる程度にはわかっているつもりですが。 前提知識 誰がどんな立場にいるかわからんと全くわからんと思うので CA/Policy Participants - MozillaWiki 問題 アプリケーション認証局2(Sub) | 政府認証基盤(GPKI)のホームページ にもあるように、 https://www.gpki.go.jp/selfcert/finger_print.html にアクセスしようとすると のようにルート証明書が信用できんといわれるんですね。 それで、ルート証明書を信用してくれるように mozilla.dev.security.policy › Japan GPKI Root Renewal Request (
自堕落な技術者の日記 : HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える - livedoor Blog(ブログ)
もくじ 1. はじめに 2. HPKPが生まれた背景 3. HPKPの仕組み 4. ピンの設定の考察 4.1. ピンの値の取得方法 4.2. 証明書チェーンに一致するピンの選択 4.3. 証明書更新とHPKPヘッダの設定変更の運用方法 4.4. バックアップピンという名前のイケてなさ 4.5. CA鍵のバックアップピンのオススメの値 4.6. 証明書チェーン中で複数ピンをつけても意味はない 4.7. 同じCA証明書にPinし続ける場合の課題 4.8. 2つのCA証明書にPinする場合の課題 4.9. max-ageのオススメ値を考える 5. HPKPはどの程度使われているのか 6. 今のHPKPの何がいけなかったのか 7. おわりに 8. (参考) HPKP関連の勉強になるリンク 9. 追記 9.1. 追記(2017.02.26) HPKPのブラウザサポート状況 9.2. 追記(2017.
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
JPNICの証明書失効の障害とCertificate Transparency - ぼちぼち日記
0. Disclaimer 先日JPNICのサイトの証明書が誤って失効してしまったという障害が発生しました。 「障害報告:サーバ証明書が意図せずに失効されたことによるJPNIC Webの閲覧不可につ いて(第一報)」 週末にもかかわらず迅速に復旧対応を行った関係者の方々のご尽力は大変なものであったろうと察します。 筆者は本件と全く関わりはありませんが、公開されている情報から推測すると障害の発生経緯に Certificate Transparency とその周辺のPKI技術に深い関連があるように思えました。 正式な報告書が公開される前ですが、twitterで中途半端に推測をツイートしてしまい拡散されてしまったので、事実認定と推測をちゃんと分けて書いたほうが良かったかなと少々後悔しています。 そこで、正式な報告書が公開されたら記述を追記する予定ですが、現時点で自分が把握している客観的な事実と個
TLSの普及へサーバ証明書を無料発行、MozillaやCiscoが認証局を創設
「Let's Encrypt」のサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるようにする。 インターネット上の通信を暗号化するTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行する認証局(CA)の「Let's Encrypt」が、MozillaやCisco Systemsといった大手のバックアップで創設された。 TLSを利用するためには、通信相手のサーバが本物であることを認証するための証明書をサーバ運用者が取得する必要がある。しかしこうした証明書は一般的には有料で、正しくインストールするのが難しく、アップデートにも手間がかかるとLet's Encryptは指摘する。 こうした問題を解決するため、Let's Encryptのサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるよう
Googleドメイン用の不正証明書が発行される、各社が失効措置へ
「google.com」「.google.co.jp」などのドメイン用の不正証明書が発行されていたことが分かり、Google、Microsoft、Mozillaが対応を表明した。 米Googleは12月7日、同社傘下の複数のドメイン用に不正なデジタル証明書が発行されていたことが分かり、問題の証明書を失効させるなどの措置を講じたことを明らかにした。Googleから連絡を受けたMicrosoftやMozillaも対応を表明した。 Googleによると、不正な証明書は12月3日に発見され、調べたところ、フランスの政府系認証局ANSSI傘下の中間認証局で発行されていたことが分かった。 電子証明書は、ユーザーがアクセスしているWebサイトが本物であることを確認するために使われる。不正な証明書を利用すれば、偽サイトであってもWebブラウザの警告が表示されず、ユーザーがだまされて個人情報などを入力してし
認証局を立ててぼろもうけしたいんですが>無理な理由を理解しよう - Qiita
SSLの認証局とか証明書とか勉強し始めはホント難いよね このへんのSSL/TLSの仕組みって勉強し始めの頃は凄く難しく感じるのよね。分かりやすく解説してくれてるサイトってあんま見たこと無いし。 んで、 >>300,304 みたいなことは僕も昔考えたことあったわー、と懐かしみを覚えたのでレスってみた。 証明書を発行できるかどうかは証明書のフラグで決まっている、という >>303 の指摘も重要よね。 以下2chスレより引用 丁寧過ぎると評判のレスをしてるID:UyEJo1f2が僕なわけだがw 2chだとそのうち倉庫に行っちゃうかもしれないのでここにメモ。 【認証局】SSLに関するスレ 2枚目【ぼろ儲け】 http://hayabusa6.2ch.net/test/read.cgi/mysv/1286532904/298-309 298 :DNS未登録さん:2013/05/31(金) 13:31
トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに
GoogleとMicrosoftが米国時間1月3日にそれぞれ明らかにしたところによると、トルコに拠点を置くある認証局(CA)が2012年12月にセキュリティ証明書を「誤って」発行したことで、その電子証明書の交付を受けたある組織によって、さまざまなGoogleサイトへのなりすましが可能な偽の証明書が作成されてしまったという。 GoogleのエンジニアであるAdam Langley氏のブログ投稿によると、「Google Chrome」は12月24日、「*.google.com」ドメイン向けの無認可セキュリティ証明書を検出し、ブロックしたという。同氏によると、この証明書のブロック後、Googleによる調査が行われ、問題の証明書がトルコの認証局であるTURKTRUST傘下の中間認証局により発行されたものであると特定できたという。 ウェブサイトの正当性を証明する電子ドキュメントである証明書が不正に作
みずほダイレクトの謎 - ockeghem's blog
ソフトバンク携帯電話のSSL方式変更に伴い、みずほ銀行のモバイルバンキングが一部使えなくなっていましたが、昨日復旧したようです。 7月3日時点では、みずほダイレクトのトップに以下のように表示されていました。URLは魚拓のものです。 現在、ソフトバンクの携帯電話からアクセスいただいた、みずほダイレクト(モバイルバンキング)の[ネット決済振込サービス]および[Pay-easy(ペイジー)税金・料金払込みサービス]において、一部のお取引がご利用いただけません。「ご利用の端末のユーザーIDを「ON」に設定し、再度アクセスしてください。」と表示された場合には、パソコンなどでご利用ください。 お客さまには大変ご迷惑をおかけしておりますことをお詫び申しあげます。 (原因につきましては現在調査中です。) http://megalodon.jp/2011-0703-0032-51/www.mizuhoban
SSL 証明書エラーにつきまして SSL 証明書エラーにつきまして:ソフトバンク ビジネス+IT
誤った対処方法をご案内したことに関する訂正 平素は、弊社および弊社サイトをご活用いただきましてありがとうございます。2/4(木)~5(金)、弊社主催セミナーのサイトにおきまして、誤った対処法を掲載したので、訂正します。関係各位に、ご迷惑をおかけし、大変申し訳ございませんでした。 正しい対処方法について Windows 2000、またはWindows XPで、Internet ExplorerやSafariをご利用の場合に、サーバ証明書の警告画面が表示されることがございます。Windows Update/Microsoft Updateを実行し、セキュリティおよび証明書ストアを最新の状況にアップデートいただくか、ルート証明書のダウンロードをお願いいたします。 詳しくは、セコムトラストシステムズの Webページ(こちら) をご覧ください。
日本PKIフォーラム 電子認証連携・シングルサインオンに関わる最新技術動向
アジアを拠点にビジネスを展開しようと考えている方は多いことでしょう。当然のことながら、それは簡単なことではありません。言語の問題、法律の問題、雇用の問題…と問題は山積みだからです。今まで日本で培ってきたビジネスノウハウが全く通用しない世界でビジネスを始めることは、一からビジネスを始めることと大差ありません。その一方で、アジアでのビジネス展開が将来的に大きなチャンスとなり得るのも確かです。成熟した日本の市場ではなく、成長が見込める国が多いアジア諸国でビジネスを展開すれば、その経済成長の旨味を享受できること間違いありません。 アジアでのビジネス展開を考えている方へ そこで、そんなアジアに打って出ようと考えている日本のビジネスマンたちのために、アジアのビジネスシーンの諸情報をお届けすべく、このブログを開設しました。ここでは、アジア諸国で行われているビジネスフォーラムや、アジアを拠点とするNPO団
高木浩光@自宅の日記 - EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない
■ EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない 6月6日の日記「Upcoming Advisories」で書いていた、脆弱性届出「IPA#45031375」*1*2の件について、製品開発者がFAQとして事実を公開し、IPA#45031375 は11月26日に取り扱い終了となった。 EZwebで表示中のページのURLを確認する方法はありますか?, KDDI, よくあるご質問/お問い合わせ, 公表日不明*3 質問: EZwebで表示中のページのURLを確認する方法はありますか? 回答: 確認方法はございません。 なお、お気に入り登録時にURLが表示されますが、そのURLはサイト提供者が任意に指定することができるため、必ずしも閲覧中のサイトと一致しない場合があります。 PCサイトビューアーの場合、「メニュー」から「ページ情報」で確認が可能です。 FAQには掲載された
NEC、証明書機関名を非公開にするID連携技術を開発
NECは12月3日、グループ署名技術に基づいたID連携技術をNEC欧州研究所と共同で開発したことを明らかにした。 グループ署名技術は、ある権限を持つ“グループ”への所属有無を認証しつつ、証明書の発行機関名を、証明書の利用者であるサービスプロバイダに対して非公開(匿名)にするもの。 ユーザーがサービスプロバイダを利用する場合、あらかじめ登録しているIDプロバイダが証明書発行機関に証明書発行を依頼する。証明書発行機関はグループの証明情報とメンバー鍵を使ってグループ署名を生成、サービスプロバイダへ送る。サービスプロバイダはグループ公開鍵を用い、証明書の正当性を確認、サービスを提供する。 この場合、IDやパスワードといった個人情報をサービスプロバイダ側に渡すことなく、かつ、グループとしてサービスを利用するため、ユーザーの行動履歴などの収集もできなくすることが可能であるなど、従来のデジタル署名方式で
高木浩光@自宅の日記 - 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト
■ 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト 昨夜気付いたのだが、UPKI(全国大学共同電子認証基盤)が既に今年からサーバ証明書の発行を開始していた。「UPKIイニシアティブ」のサイトに説明文書と資料が公開されている。 実は私も2年前に東工大の客員の仕事として東工大経由でUPKIの設計に意見を挟ませて頂いたことがある。GPKIとLGPKIの失敗を繰り返さないため、Web用のSSLサーバ証明書については、構築する独自PKIとは分けるべきである旨を意見した。2つの選択肢があり、1つは、Web用のSSLサーバ証明書については普通に既存のCAから買って済ませる方法、もう1つは、Webブラウザで初めから利用できる状態にある形の認証局を構築して発行する方法である。 どうなったかは、「サーバ証明書発行・導入における啓発・評価研究プロジェクト」にある資料から窺い知れる。2007年6月8日の
Web 業界に HTTPS の知識は普及するか | 水無月ばけらのえび日記
「銀行2.0はまだ来ない (takagi-hiromitsu.jp)」。 銀行に限らず「SSL2.0 と SSL3.0 を両方有効にしろ」という指示は結構あるのですが、そもそも、これらを両方とも有効にさせようとしている時点で何かがおかしいわけで……。おそらく、その指示を書いた人は「SSLを使っているらしい」という漠然とした理解しかない状態で、ひとまず「SSL」と名のつく設定を全部有効にさせようとしたのでしょう。 ※もちろん、SSL という名前がつかない「TLS 1.0」を有効にするような指示は思いつきません。:-) この手の記述の場合、リンクポリシーのケースと違って法務から文章が出てきたりはしないので、Web屋の責任である可能性が高いです。残念ながら、Web 業界には SSL/TLS について一通り理解している人って少ないと思うのですよね。少し前、某大手 Web屋 (弊社ではない) が作っ
高木浩光@自宅の日記 - 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合
■ 役所のPKIの出鱈目ぶりも末期的 佐賀県警察本部の場合 この日記が扱うテーマのひとつは、「ひとたび発生した誤り解説は作業員のコピペによって際限なく広がっていく」という現象の社会的危険性(止めることの困難性)についてである。 蔓延する「サイバーパテントデスクのWWWサーバ」, 2007年1月20日の日記 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 2006年9月23日の日記 「リンクお断りは普通」と人の心に種を蒔くAC, 2006年9月21日の日記 やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), 2005年9月9日の日記 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性, 2005年7月22日の日記 岡山県と外務省が他人の著作物の知的所有権を主張中, 2005年7月18日の日記 PKIよくある勘違い(9)「『詳
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
個人で使うSSL - ずmemo
ネットワークマガジン - Network Magagine - 徹底比較 SSLサーバ証明書の「値段」と「品質」
IIJ、Ooyala(ウーヤラ)社と動画配信分野で提携 | プレスリリース | IIJ