Ruby の openssl ライブラリを使って、サーバ証明書やクライアント証明書を作成する - Qiita
はじめに Ruby には OpenSSL を扱うためのライブラリ (openssl ライブラリ) が標準添付されていますが、リファレンスマニュアルだけでは使い方が少しわかりづらいので、標準的な使い方をまとめてみました。 以下のような人には役に立つかと思います。 シェルスクリプトよりも Ruby のスクリプトをよく使う人 SSL サーバ証明書の作成をよく行うが、それを自動化したい人 証明書を操作する Ruby 製のアプリケーションを作成したい人 Rails で作った Web サービスにクライアント証明書による認証機能を追加したい人 プライベート CA (認証局) 構築 CA の役割については、こちらなどをご覧ください ./ca_private_key.pem に CA の秘密鍵を、./ca.pem に CA 証明書を作成します CA の名前は "Example CA" にします CA の秘密
Let's Encrypt証明書を使ったメールサーバからの送受信がiOSでエラーになる場合の対処方法 - Qiita
はじめに 無料SSL証明書を発行するLet's Encryptで従来使用されていたDST Root CA X3証明書が2021年9月30日で使用できなくなり、これに伴い、この証明書で運用していた自身のメールサーバ(Postfix, Dovecot)につき、iOSでのメール送受信(SSL)ができなくなったので対応した。 結論 Let's Encrypt証明書をいったん削除し、certbot コマンドに --preferred-chain "ISRG Root X1" オプションを追加して証明書を再作成する PostfixおよびDovecotで、証明書として cert.pem ではなく fullchain.pem を指定する 経緯 この記事のように、以前からLet's Encryptで使用されていたDST Root X3のルート証明書は2021年9月30日で使用できなくなることは以前からアナウ
Let's EncryptのDST Root X3ルート証明書の期限切れとOpenSSLの影響についていろいろ試してみた
Let's Encryptでこれまで長く使用されてきたIdentrust社発行のDST Root X3ルート証明書が、日本時間2021年9月30日23時1分15秒に期限切れになりました。十分時間を取って事前に移行計画や影響範囲、救える環境、救えない環境などアナウンスをしてきましたが、やはり、期限切れ以降、様々なサービスや製品で接続できないといった声が上がってきました。 特にOpenSSLに関しては、OpenSSL 1.0.2以前に影響があると9月13日に事前の注意喚起がOpenSSL公式ブログであったにもかかわらず、製品やサービスの奥底で使われていて気づかなかったのか、様々なOSや製品で古いものが組み込みで使われていたために影響が広かったように思います。 OpenSSLからの注意喚起の概要 2021年9月30日にLet's EncryptのDST Root X3ルート証明書の期限が切れるに
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
ApacheのTLS設定を2020年向けに更新する|TechRacho by BPS株式会社
BPSの福岡拠点として一緒にお仕事をさせていただいています、株式会社ウイングドアのモリヤマです。 今回のテーマはTLS対応(触れるのはHTTPS化の設定に関するお話)です! ネットワーク/インフラエンジニアの方々の領域に、ちょっとだけ学習の手を伸ばしてみました。 本記事はTLSへの理解度が下記の様な方々が対象です❗️ とりあえず通信を暗号化するやつって事は知ってる SSL/TLS対応は行った事あるが、詳しく考えたことがない セキュリティ関連にちょっとでも強くなりたい意志のある方 背景 ずいぶん前にAmazonLinux2で構築したサーバー(趣味関連ブログ用)がふと気になり、 SSL/TLSの設定ってデフォルトのままいじってないなーどうなってんだろう🤔 そして軽い気持ちでQualys SSL Labs SSL Server Test で脆弱性スキャンしたのがきっかけでした。 結果は『B』所
Let's Encryptの証明書切替周りその後 | おそらくはそれさえも平凡な日々
「Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる」の続き。 色々動きがあって猶予もできて助かった形だけど、来年9月29日以降の対応をどうするか考えないといけない状況なのは当然変わっていません。先にまとめると以下。 何もせずとも来年の1月11日までは猶予が伸びた 証明書を発行する側の場合、各クライアントで --preferred-chain "DST Root CA X3" のようにオプション設定することで、来年の9/29まで先延ばしが可能 独自ドメインに対して自動でSSL証明書を発行してくれるサービスを利用している場合はサービスが声明を出していないか調べ、出してない場合は問い合わせると良いでしょう 前回以降の動き go-acme/legoに--preferred-chainオプションのpull requestを取り込んでもらいました デフォルトRoot証
Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST
SSLサーバ証明書の有効期間を短縮するという決定に関する続報
2020年2月にApple社が「2020年9月1日以降に発行されるSSLサーバ証明書で、有効期間が398日を超える証明書をSafariでは無効とする」という発表を、グローバルサインブログで紹介しました。本日はその続報を紹介します。 その後、ブラウザベンダーのアナウンス CA/Browser Forumでは、SSLサーバ証明書の有効期間を398日未満とする、基本ルール(Baseline Requirements)を盛り込むよう、投票に向けた議論を重ねている最中ですが、2020年6月23日にオンライン会合の場で、GoogleやMozillaも相次いでAppleのアナウンスに同意するかたちで、9月1日以降に発行されるSSLサーバ証明書で、398日を超える証明書は無効化することをアナウンスしました。 これは、CA/Browser ForumのBaseline Requirementsの要件にかかわ
SSLサーバー証明書は2年物を買ってはいけない - orangeitems’s diary
SSLサーバー証明書は2年物を買うべきではない 今日の今日、今の今知ったことですが、たくさんの人に知られるべきだと思ってまとめます。サーバー証明書を購入する時、たいてい「1年」「2年」が選べると思います。更新作業は面倒なので、2年を選びたくなる方がいらっしゃると思いますが、この「2年」に大きな落とし穴があります。端的に言えば「1年」を購入するべきです。 その理由は、AppleのSafariにあります。 その理由 下記の記事を見てください。 ssl.sakura.ad.jp AppleがSafariブラウザにおいて、2020年9月よりSSL証明書の最大有効期間を398日に短縮すると発表しました。突然発表された本対応の経緯やその影響、私たちがこれから取るべき対策についてご紹介します。 Appleの発表は2020/3/3です。もう一か月も経過するのに結構誰も知らないのではないかと思います。最近の
幅広い環境でSSL対応するために知っておくべきこと
- SSL関連の障害がなぜ起きてしまうのか? - 何で対応端末が変わるのか - 何をすれば障害を防げるのか? - SSL対応するためにどういう体制を組んでいたらいいのか? おことわり: 社内向け勉強会のスライドを再編集したものです。社外向けに割愛した結果、ちぐはぐになっている部分があります。
Google Chrome EV表示の終焉 - ぼちぼち日記
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく
次世代Webカンファレンス 2019:HTTPSセッションが面白かった - ろば電子が詰まつてゐる
以前から気になっていた「次世代 Web カンファレンス 2019」を、ようやく聴きに行くことができました。 たくさんのトークがありましたが、ここではHTTPS (hashtag: #nwc_https)をメモしておきます。なお、このセッションが間違いなく一番アツく、一番面白かったです! 当日の動画 https://www.youtube.com/watch?v=_8dCa8wj8QY togetter https://togetter.com/li/1268794 以下、当日参加した、もしくは動画を見たという前提でのメモなので、見てない人はぜひ見ましょう。 PKI 「低レイヤから行きましょう」ということで、はじめはPKI絡み。Symantecのdistrustと、日本のGPKIの話でした。 トーク中に何度か出てきましたが、認証局(厳密にはCAとRAを分けて書くべきですが、どうせみんな一緒な
Apache での TLS1.0 と TLS1.1 の無効化と確認方法メモ
Yahoo! Japan が、2018年6月1日から TLS1.0 と TLS1.1 のサポートを順次終了して TLS1.2 のみのサポートに切り替えています。ここ数年、各社ウェブサービスでも TLS1.0 と TLS1.1 を無効化する動きもあり、今後 SSL/TLS のプロトコルは TLS1.2 以上に設定することが標準になるでしょう。そこで今回は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無効にし、設定を確認する方法をメモしておきました。 参考資料:Yahoo!セキュリティセンター TLS1.0 と TLS1.1 を無効化する理由無効化する理由は、TLS1.0 と TLS1.1(実装にもよる)に POODLE(プードル)という暗号化通信を解読されてしまう脆弱性があるためです。 POODLE が発見された当初は、SSL3.0 のみがこの脆弱性の対象と思われ
SSLクライアント証明書でユーザ認証 (nginx) | Netsphere Laboratories
(2015.8) WebサイトではID・パスワードでユーザ認証することが多い。パスワードが漏洩すると, 第三者に成りすまされる恐れがある。 クライアント証明書をユーザのPCにインストールさせ、クライアント証明書と第2パスワードとを組み合わせることで、次のような効果がえられる; パスワードの漏洩だけではセキュリティを突破されないようにできる アクセスできるPCを限定できる クライアント認証の仕組みは、次の図を見てください。 出典: http://www.ipa.go.jp/security/pki/071.html 図の中段、クライアント側で Helloメッセージにクライアントの秘密鍵で署名し、サーバ側でクライアントの証明書をつかって検証し、ユーザを認証します。 クライアントに秘密鍵と証明書のペアをインストールさせます。 発行するクライアント証明書 証明書の属性は、次のようにします。 Bas
プライベート認証局(CA)にてクライアント証明書の発行 - Qiita
■はじめに ▽目的 クライアント証明書でアクセス制限! 概要 ・サーバやクライアント認証の証明書を発行するため、プライベートCAを構築 ・作成したクライアント証明書(プライベートCAの署名付き)を利用してwebコンテンツへのアクセスを制限 補足 ・本項、実際に私が実装した際の手順を記載したものになります。 ・公式Document や 各コマンドのマニュアル等を読み込み、そこから手順を起こした。とういわけではなくインターネット上の情報を私なりに整理したという程度の内容になりますため、同じ環境の方の参考になれば幸いです。 ▽今回の実装環境 CentOS 6.5 openssl 1.0.1e mod_ssl 2.2.15 apache 2.2.15 ■準備 ▽必要なパッケージ httpd openssl mod_ssl ・導入していなければインストール
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LOCAL環境でHTTPSが必要なときはlocal-ssl-proxyが便利 - Qiita
mod_headers - Apache HTTP サーバ
個人でEV SSL証明書が欲しい話
Apache + Passenger + Rails and Client certificates
複数のディレクトリで、それぞれのクライアント証明書で認証
