SSLの認証局とか証明書とか勉強し始めはホント難いよね このへんのSSL/TLSの仕組みって勉強し始めの頃は凄く難しく感じるのよね。分かりやすく解説してくれてるサイトってあんま見たこと無いし。 んで、 >>300,304 みたいなことは僕も昔考えたことあったわー、と懐かしみを覚えたのでレスってみた。 証明書を発行できるかどうかは証明書のフラグで決まっている、という >>303 の指摘も重要よね。 以下2chスレより引用 丁寧過ぎると評判のレスをしてるID:UyEJo1f2が僕なわけだがw 2chだとそのうち倉庫に行っちゃうかもしれないのでここにメモ。 【認証局】SSLに関するスレ 2枚目【ぼろ儲け】 http://hayabusa6.2ch.net/test/read.cgi/mysv/1286532904/298-309 298 :DNS未登録さん:2013/05/31(金) 13:31
完全に釣りタイトルですけど中身は真面目に書くよ。 近年、ウェブサイトのHTTPS化が流行のようになっている。私の知る限り、Googleの各種サービスやTwitter、Facebookなどが完全にHTTPSで通信を行うようになっている。HTTPS、つまりSSLによる通信の暗号化によって、ユーザにこれまでよりも安全なウェブサイトを提供できる。 しかし、あなたが作っているサイトをふと思いつきでHTTPS化してしまうと、たぶん、これまでよりもサイトが遅くなる。ここでは、HTTPSで通信する場合の問題を解説する。 なぜ遅くなるのか HTTPで通信する場合、クライアントがサーバへと接続するためにはTCP/IPの3ウェイハンドシェイクという手順が必要になる。めんどくさいのでここでは詳しくは説明しないが、要するにクライアントがリクエストを投げる前にパケットを1往復させないといけないのである。パケットの往復
2007/10/23更新 対応バージョン: 0.9.8g 証明書発行の考え方 通常、正式なサーバ証明書は日本ベリサイン等の公の認証局(以下CA)で発行してもらうが、ここではプライベートなCAを作ってサーバ証明書を発行する手順を示す。 まず、CAを構築する際に意識しなければならないことがある。 それは「自分が現在誰の立場で作業を行っているか」である。 例えばCAを構築する際にはCAが自分自身の公開鍵証明書に署名するのだが、この場合には公開鍵の持ち主と公開鍵証明書に署名するCAは同じエンティティ(認証の対象となる主体)ということになる。 従ってリクエストを作成するときや署名する際にも同じパスフレーズ(CAのパスフレーズ)を入力する。 CAの構築 → 証明書リクエスト → 証明書の発行という一連の作業を1人で行なう場合には「自分が今CAなのか、公開鍵の持ち主なのか」という立場を常に意識しておく必
2023.09.15 お知らせ CRL配布ポイントに関するお知らせ 2023.09.08 お知らせ 書類送付先変更のお知らせ 2023.08.02 お知らせ セコムパスポートfor Web EV2.0サービス 中間CA証明書が新しくなります 2023.03.01 お知らせ 申請手続きにおけるCSRチェックについて 2022.08.10 お知らせ クロスルート証明書(4階層用の中間CA証明書)失効のお知らせ 2022.07.11 お知らせ お客様専用ページ 機能追加のお知らせ 2022.06.03 お知らせ SSL/TLSサーバー証明書におけるOU(部門名)廃止についてのお知らせ(3) 2022.05.27 重要 「セコム」のサーバー証明書を利用していることを装う偽サイトにご注意ください 2022.05.20 お知らせ OCSP応答の署名アルゴリズム移行のお知らせ 2022.04.06 お知
opensslコマンドtips 元は、AirOneのセキュリティ関連のファイルの説明文書です。 opensslコマンドのtips文書として使えるので、いくつか追記して、公開します。 * PKI関連 ========= ** identity.pem(秘密鍵ファイル) ** cert.pem(証明書ファイル) AirOneの起動時にidentity.pemとcert.pemの整合性チェックを行います(airu_cert_validate())。 チェック項目、エラーコード、解析方法を説明します。 チェック項目 ------------ 1. cert.pemがx509のフォーマットか? エラーコード: #0301005 解析方法: openssl x509 -text -in cert.pem でエラーがでないこと。 2. identity.pemが入力パスワードで読めるか? エラーコード:
A universal SSL proxy by DeleGateの和訳 訳者: Hiroshi Suzuki<setter AT i-red DOT info> 翻訳日:2000/04/05 更新 :2005/05/13 , 2005/08/10 コメント: 翻訳の正確さは保証しません。 必ず、原文と共に、使用してください。 訳者メモ: この文書は、すでに一部機能のサポートが終了している外部フィルタ sslway について説明されているものです。 DeleGate/9.0.1 以降のバージョンでは、FCL="sslway" のような SSL フィルタは、 STLS="fcl" のように指定します。 FCL="sslway" のようなフィルタと比較して、STLS のパフォーマンスや機能は大幅に向上しています。 詳細は、DeleGate による汎用 TLS ゲートウェイと、 リファレンスマニ
MicrosoftのIISサーバーとの通信中に「function.fgets: SSL: fatal protocol error …」のエラーメッセージが出る場合があります。 その原因と対策方法について。 IISとの通信中に発生することがある 毎回ではないですが、たまにIISがSSLの標準に準拠せずデータ送信終了してしまうために、PHPはデータの終わりをちゃんと認識することができず、エラーを出してしまいます。 より具体的にはIISは「close_notify」を送らないで終了してしまうのだそうです。 むむ、思わぬ所に地雷が… 「close_notify」とは、データの送信側が「これでデータ終了です」ということを受信側に知らせるために発行するTLSハンドシェイクプロトコルに定義されているAlertプロトコルの一種です。 (参考データ) ちなみに、このエラーはfile_get_content
wgetがhttps(SSL)からのダウンロードが失敗したことがあったので、その備忘録です。 補足として、curl を使ったファイルダウンロードの方法も簡単に書いています。 wgetでhttps(SSL)からダウンロードしようとして失敗 wget を使用して https(SSL)のファイルをダウンロードしようとしたら失敗しました。 $ wget https://github.com/mrgoofy33/dotfiles_vim/zipball/master --2011-02-03 23:00:00-- https://github.com/mrgoofy33/dotfiles_vim/zipball/master github.com をDNSに問いあわせています... 失敗しました: 名前またはサービスが不明です. wget: ホストアドレス `github.com' を解決できません
パスワードや情報の漏れを防止するため、SSLで暗号化することを基本とするページやディレクトリに誤ってHTTPでアクセスした時、自動的にHTTPSにrewriteする方法。 前提条件として、Apacheでmod_rewriteを使用できる環境が必要となる。Windowsなら、HunterのApacheを使用しているなら設定だけで利用できる。LinuxはRedHat標準のものなら同様に設定だけで、自分でコンパイルする場合は、./configureでDSOモジュールとして組み込むなら「--enable-so --enable-rewrite=shared」、モジュールと仕組みこむなら「--enable-rewrite」オプションをつけてコンパイルしなおせばrewriteが使用できるようになる。 mod_rewriteの有効化 [DSOモジュールで組み込んだ場合] DSOモジュールで組み込んだ場合
.htaccessを使って、HTTPでアクセスされたページをSSLでリダイレクトする方法と、SSLでアクセスされたページをHTTPでリダイレクトする方法です。 今回は、以下の2パターンで試してみました。 環境変数「HTTPS」を使用する。 環境変数「SERVER_PORT」を使用する。 環境変数「HTTPS」を使用する場合 ※メイビンラボさんのページを参考にさせてもらいました。 一番簡単で分かりやすい方法はコレだと思います。 「RewriteCond」で環境変数「HTTPS」の値を判定します。 「HTTPS」がoffの場合 → HTTPでのアクセスなのでSSL(HTTPS)でリダイレクト 「HTTPS」がonの場合 → SSL(HTTPS)でのアクセスなのでHTTPでリダイレクト .htaccessを全てのディレクトリに置くのは管理が煩雑になってよろしく無いので、DocumentRoot直
概要 DeleGateでクライアント認証付きSSLリバースプロキシサーバ、いわゆるSSL-VPNの一種を構築してみます。 要件 以下のような要件を考えてみます。 社内ネットワークに設置されているWebベースのグループウェアサーバにインターネットから接続したい。 インターネット上の通信は暗号化したい。 接続できるユーザ(PC)を制限したい。 シナリオ 要件1,2はSSLリバースプロキシを用いることで解決できます。想定するネットワークの構成は以下のような感じになります。クライアントPCからSSLリバースプロキシにHTTPSでアクセスすると、リバースプロキシはSSLを復号してHTTPでグループウェアサーバに中継します。 要件3は少々やっかいです。グループウェアにもユーザ認証機能はありますが、正当なユーザ以外にはグループウェアの認証画面にすら到達できないようにしたいということなのでリバースプロキシ
■ 第六種オレオレ証明書が今後増加するおそれ リンク元を辿ったところ、東京証券取引所の「適時開示情報閲覧サービス」のサイトと、民主党のご意見送信フォームの送信先サーバ*1でオレオレ証明書が使われているという話を立て続けに見かけた。 無知な鯖管, 別館「S3日記」, 2007年12月9日 民主党のSSL証明書が不正な件, 思考と習作, 2007年12月10日 これらはどちらも、中間認証局から取得したサーバ証明書なのに、中間認証局の証明書をサーバに設置していないという、第六種オレオレ証明書の状態になっているようだ。 この場合、Internet Explorerアクセスするとオレオレ警告が出ないため、サーバ管理者が気づいていないのだと思われる。 IEで警告が出ないのは、IEには独自の機能が搭載されているからで、サーバ証明書に記載の「Authority Information Access」拡張フ
_ delegated STLS=mitm HTTPCONF による https通信におけるhttpヘッダー書き換え 仕組み 通常、https(SSL)通信の内容は書き換える事は(当然)出来ない。 そこで、ブラウザに対してはwebサーバのフリをし、webサーバに対してはブラウザのフリをする事が可能なプロキシサーバ(delegate)を導入し、SSL通信をプロキシ上で一旦平分に復号化し、ヘッダーを書き換えた後に再度SLL通信に戻す。 [browser]---[delegated:8080]---(Internet)---[server] |-+-|......+.......|<------+------->| | | | | | [server]の証明書によるSSL通信 | | | [delegated]内部では通信が復号(平文)化されている | [delegated]の証明書によるSSL
「体系的に学ぶ 安全なWebアプリケーションの作り方」を読んでいたら、とっても気になる記述が。 サーバー証明書のうちドメイン認証証明書は比較的価格が安く、購入のハードルが低いものですが、ドメイン認証証明書には無料のものがあります。イスラエルのStartComという企業は、無料のサーバー証明書を発行しています。IE、Firefox、Google Chrome、Safari、Operaの最新版で証明書エラーなく使用できます。IE6でもアップデートが当たっていれば使用できます。 日本の携帯電話には対応していないようです。しかし、今までラピッド SSL が年間2,100円で最強だと思っていたけど無料のものがあるとは。気になったので、ちょっと調べてみました。 以下の画面が StartCom のサイトです。画面の赤枠のリンクをクリックすると次の画面が表示されます。 そうすると、SSL 証明書の製品紹介
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く