Apache (mod_ssl) の SSLCipherSuite の設定パラメータで有効な暗号化方式と強度を確認する - 元RX-7乗りの適当な日々
※ このエントリは、はてなグループ終了に伴う、サブブログからの引越エントリ(2013/03)です。 ※ 情報が古い可能性もありますので、ご留意ください。 当然ですが、openssl コマンドを使う。 んですが、Apache が稼働しているサーバの openssl ライブラリに依存しているので、チェックしたい Apache が稼働しているサーバで確認しましょう。 例えば、 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5Apache で、↑のように設定されていたとすると、、、 $ openssl ciphers -v 'HIGH:MEDIUM:!aNULL:!MD5' DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS E
ECDSAなSSL証明書を作ってみる
よく使われているRSA暗号方式からECC(楕円曲線暗号)に変えると、同程度の強度のRSAと較べて鍵長が短くなってサーバ側の鍵認証のsign処理が速くなる。クライアント側の鍵認証のverify処理は少し遅くなるようだがトータルでは速くなると考えて良さそう。なによりサーバ側が軽くなるのが良い。 ちなみにRSAで鍵長が1024bitから2048bitになって数倍の処理、何年か後に4096bitになったらまたその数倍の処理が必要になるのだが、ECCだと256bitでRSAの3072bit相当と言われている。10年とかそれ以上の有効期間の長いEE証明書を使うならともかく5年以下のEE証明書でアホみたいにRSAで鍵長を4096bitにする人は殆どいないと思うけど、2048bitでもちょっと重いかなと思うことがあるので軽めのP-256でRSAの2048bitよりずっと暗号強度が高いというのは良いわぁ。
OpenSSL の Cipher 周りのメモ | iret.media
どうも、cloudapck の かっぱ(@inokara)です。 はじめに OpenSSL の Cipher 周りについて調べたのでちょいメモ 参考 UNIXの部屋 コマンド検索: openssl ウェブサーバの暗号アルゴリズムの選び方 OpenSSL: Cipher Selection ウェブサーバーの暗号アルゴリズムの選び方 ウェブサーバの暗号アルゴリズムの選び方の一章をまとめました。 https のウェブサイトが表示されるまで ブラウザからサーバーに https のリクエスト ブラウザとサーバー間で使用する暗号化アルゴリズムを決定 サーバーからブラウザに SSL サーバー証明書と公開かぎを送付 ブラウザからプリマスターシークレットを送付してブラウザとサーバー間で共通鍵を生成 ブラウザとサーバーは共通鍵を用いてコンテンツを暗号化して送受信 使用する暗号化アルゴリズムの決定メカニズム ク
SSL/TLSについてまとめ2018 - Qiita
はじめに SSL/TLSについて改めて理解を深めたい思い、関連する技術についてまとめました。 本記事はTLSに関すること主題として、HTTPS、暗号化、Apache、OpenSSL等について記載しています。 SSL/TLSの通信は色々なプロトコルや暗号化方式が組み合わされ補いあってできています。暗号化の仕組みはパズルのようで面白いです。一つ一つを読み取り理解が深まるごとで、SSL/TLSって本当によくできると思いました。フレームワークの意味について考えさられます。 HTTPSの通信 HTTPSの通信はTCP/IPプロトコルスイートとして、TCPの上層にSSL/TLSがあり、アプリケーションプロトコルのHTTPプロトコルが載って通信をしています。 コネクションとセッションは通信の概念として別になります。TCPでクライアントからWebサーバに対してコネクション(経路)が確立され、その上でセッシ
暗号スイートの暗号強度と、公開鍵のビット数の設定、及びRSAとECDHEでサーバ負荷の比較 - Apache 2.4系でHTTP/2対応サーバを構築してみるテスト。
見ず知らずの他人同士が、リーズナブルな計算量で、秘密の通信を行うためには、公開鍵暗号と秘密鍵暗号を組み合わせる必要があります。 この暗号の組み合わせのことを「暗号スイート」と呼びます。 OpenSSLには、多くの暗号スイートが用意されています。どの暗号スイートを選べばいいのか、迷ってしまうと思います。 そして、暗号スイート全体としての暗号強度は、公開鍵の強度も関係してきます。 ここでは、総当たり攻撃の耐性を基準に、暗号スイートと公開鍵の決め方を説明していきます。 以下、私の独断と偏見ですが、なぜGoogleやFacebookが、ECDHE(256bit)-ECDSA(256bit)-AES(128bit)の暗号スイートを使用するのか、ご理解いただけると思います。 併せて、Apache Webサーバ(httpd)のECDHEのビット数の変更方法(P-256, P-386)も、説明しています。
httpdの設定(ssl.conf)
httpdの設定(ssl.conf) [サーバの実験室 Slackware] 作成 : 2003/11/02 "サーバの実験室"の検索 SSL の設定 SSL の設定は httpd.conf に書いてもよいが、別のファイルに SSL 関連のディレクティブをまとめて記述し、httpd.conf から Include ディレクティブを使用してファイルを読み込むこともできる。 Include conf/ssl.conf デフォルトの ssl.conf に記述されているディレクティブについて、順に見ていく。 (重複するものは省略) デフォルトの ssl.conf <IfDefine> 〜 </IfDefine> [core モジュール] httpd を起動するとき -D でパラメータが指定されていれば、<IfDefine> と </IfDefine> で囲まれたディレクティブを有効にする。 次の例
CentOS7.2 64bit OpenSSLを使用して自己認証局で署名したSSLクライアント証明書を作成 | kakiro-web カキローウェブ
外部に公開しているWebサイト等でアクセス制限を行いたい場合、ユーザーIDとパスワードの入力による認証や、ファイアウォールを使用してアクセス元のIPアドレスによる制限を行うこともできますが、SSLクライアント証明書を使用することで、特定の証明書を所有する端末からのアクセスのみを許可するように制限することができます。 ここでは、CentOS7.2の標準リポジトリからインストールできるOpenSSL1.0.1eを使用して、自己認証局で署名したSSLクライアント証明書を作成する方法を、以下に示します。 ※当サイトのSSLサーバー証明書の作成に関するページでも、SSLについて記載しています。CentOS7 64bit OpenSSLを使用して秘密鍵、CSRを作成し、自己署名のSSLサーバー証明書を作成のページ、CentOS7 64bit OpenSSLを使用して秘密鍵と自己署名のSSLサーバー証明
オレオレ認証局でSSLクライアント認証しようとしたら、色々ハマったから手順をまとめた - 死ぬまでの暇潰し
表題の通りです。 以前、自前で認証局たててSSL環境作ってクライアント認証しようとしました。 情報はググれば結構見つかって、それらを参照しながら 特に詰まる事無く各証明書作成を完了したんですが、 いざ導入しようとしたら、いろんなエラーに遭遇して上手くいかず、 試行錯誤の末、環境構築に成功し、現在は上手く動作しています。 その頃はブログも書いていなくて、情報もまとめてなかったんですが、 定期的に作業が必要になる度に思い出すのに手間取ったり、 新しく環境構築することになったりし始めたので、 自分なりに以前色々調べて把握したことを元に、手順をまとめてみました。 構築した環境 CentOS5または6でopensslを使って、/etc/pki配下に自前のSSL環境を作り、 サーバのSSL通信およびクライアント認証を導入しました。 CAは10年、サーバ/クライアントは1年毎に証明書更新することにしまし
OpenSSLでの自己認証局(CA)と自己証明書の作成
OpenSSLを利用した、自己認証局(CA)の構築と、サーバ証明書の作成手順とApache+mod_SSLでの設定方法についてもご紹介します。 Section.1では、通常のhttps通信を可能とするため、以下の手順を行います。 1.自己認証局(CA)の構築 2.サーバの証明書の作成 3.自己認証局によるサーバ証明書への署名 4.Apache+mod_sslの設定例 Section.2では、Section.1に加えてクライアント認証に利用する証明書の発行方法とApacheの設定例を示します。 1.クライアント認証用証明書の作成 2.Apache+mod_sslでの設定例 最初に、自己認証局(以下CA)の構築を行います。なお、CAの構築は/usr/local/CAに行います。 CAを作成するには、OpenSSL付属のCA.shを利用します。 (CA.shは、OpenSS
プライベート認証局(CA)にてクライアント証明書の発行 - Qiita
■はじめに ▽目的 クライアント証明書でアクセス制限! 概要 ・サーバやクライアント認証の証明書を発行するため、プライベートCAを構築 ・作成したクライアント証明書(プライベートCAの署名付き)を利用してwebコンテンツへのアクセスを制限 補足 ・本項、実際に私が実装した際の手順を記載したものになります。 ・公式Document や 各コマンドのマニュアル等を読み込み、そこから手順を起こした。とういわけではなくインターネット上の情報を私なりに整理したという程度の内容になりますため、同じ環境の方の参考になれば幸いです。 ▽今回の実装環境 CentOS 6.5 openssl 1.0.1e mod_ssl 2.2.15 apache 2.2.15 ■準備 ▽必要なパッケージ httpd openssl mod_ssl ・導入していなければインストール
OpenSSLコマンドでオレオレ証明書を作り、ルート認証局としてサーバー証明書を発行する - Sanwa Systems Tech Blog
こんにちは、最近あまりWebの話をしていないwakです。IISをあれこれ触ってリハビリをしようと試みていたのですが、同僚がSSL回りで苦しんでいたので復習がてら表題の件を試してみました。 通信の盗み見、改竄、なりすまし、おいしくないカリカリを許さない鋭い視線の猫 1行でまとめると こういう証明書を作成するのが目的です。 まずは基礎知識 SSLの目的と機能 SSLには2つの機能があります。 通信を暗号化して、のぞき見や改竄を防ぐ 通信相手が本物であることを保証する たとえば公衆Wi-Fiに紛れて偽Wi-Fiアクセスポイントを設置した悪者がいたとします。このアクセスポイントは悪者の支配下にありますから、ここに接続してしまった人は全ての通信内容を見られてしまいますし、通信内容は改竄され放題です。「mizuhobank.co.jp」にアクセスしていたつもりなのに、実際にはフィッシングサイトに接続さ
システム管理者の心得? 〜 OpenSSLコマンドで証明書をチェック(2) : DSAS開発者の部屋
先日の投稿で、 openssl s_client コマンドを使って軽く通信試験をしてみました。 実際にやってみた方はお気づきかもしれませんが、あのコマンドだと以下のようなエラーがでます。 $ openssl s_client -connect localhost:4433 CONNECTED(00000003) depth=0 (subject) verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 (subject) verify error:num=27:certificate not trusted verify return:1 depth=0 (subject) verify error:num=21:unable to verify the first certifi
opensslコマンド例文集
opensslコマンド関係の備忘録。 サーバに設定された証明書を確認する 正しくSSL通信が為されているならば証明書の署名と発行者、またSSLネゴシエーションのパラメータや暗号方式が得られる。 openssl s_client -connect HOSTNAME_OR_ADDR:443 -showcerts 中間証明書が正しく設定されているならばそれらを通じてルートCAまで一貫して辿れることが確認できる。 なお、ポート番号にはデフォルトでは以下を指定する。 443 HTTPS 995 POP over SSL 465 SMTP over SSL 993 IMAPS このコマンドは「---」で表示が止まるが、TCPセッションは接続したままになっている。HTTPSの場合はget /ENTERを打てばトップページの内容が得られるし、SMTPならHELO等を打つことでSMTPサーバと直接会話するこ
ComposerからLaravelを導入しようとしてOpenSSL周りのエラーで困った件 - Qiita
Composer経由でLaravelをインストールしようとして、Composerをcurlから取得する時に結構厄介なエラーに遭遇しましたので、対処法をシェアします。 自分はLaravelのインストール目的でしたが、Composerインストール時一般に使えるTIPSかと思います。 Download failed: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed file_get_contents(): Failed to enable crypto file_get_contents(https://getcomposer
SSL certificate verification on PHP 5.6
I recently updated my local OS X Zend Server installation to PHP 5.6 and when I ran composer self-update, I got this error message: [Composer\Downloader\TransportException] The "https://getcomposer.org/version" file could not be downloaded: SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Failed to enable cr
OpenSSLで認証局(CA)構築とApache+mod_sslでサーバ認証
前に書いた続き。実際に認証局を構築してApacheサーバから発行した証明書に署名してインストールをやってみた。環境はCentOS5.3 流れは 自前の認証局(CA)で証明書(CACERT)を作成(3のときに実行しても良いけど、認証局がサーバより先にあるというのが一般的なので) Apacheサーバで秘密鍵(Key)と証明書署名要求(CSR)を作成 自前の認証局で証明書署名要求(CSR)に署名し証明書(CERT, certificate)を作成 証明書(CERT)と秘密鍵(Key)をApacheサーバにインストール クライアントのブラウザに自前の認証局の証明書(CACERT)をインストールして信頼させる という感じ。ここのサイトなどを参考に。 ベリサインなどのWebTrust認証局にサーバ証明書を発行してもらったときは2と4の作業だけで済む(1と5は既に終わっていて、3は申請するだけ)。 1.
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
opensslコマンドの使い方 - Qiita
http://blog.yukarien.com/tech/openssl-versionup/
http://b60.uchb.net/linux/2015/09/ocwarning.html