CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - OpenSSL #ccsinjection Vulnerability
菊池です。CCS Injection脆弱性(CVE-2014-0224)発見の経緯について紹介します。 バグの簡単な解説 OpenSSLがハンドシェーク中に不適切な状態でChangeCipherSpecを受理してしまうのが今回のバグです。 このバグはOpenSSLの最初のリリースから存在していました。 通常のハンドシェークでは、右の図のような順序でメッセージを交換します(RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 §7.3より作成)。 ChangeCipherSpecは必ずこの位置で行うことになっています。OpenSSLもChangeCipherSpecをこのタイミングで送信しますが、受信は他のタイミングでも行うようになっていました。これを悪用することで、攻撃者が通信を解読・改ざん可能です。 発見の困難さ
オレオレCA構築手順 - La vie des marmotte
イントラネット向け、SSLプライベート認証局構築手順(備忘録) なお、今回構築した環境は「CentOS5.4」となります。 SSLプライベート認証局のすすめ イントラネット上でWebサービスを展開していると、 ・「SSLで暗号化通信がしたい」 ・「お金を払ってまでSSL証明書を買いたくない」 というジレンマから自己証明書(オレオレ証明書)を利用するケースが往々としてあります。 確かに、この方法を利用すれば「SSLによる暗号化通信」という要件は満たされますが、 同様のシステムが乱立した際、「証明書のアラート」がサーバ毎に表示されてしまい 「つながんないんだけど、、、」という苦情が殺到というのはよく聞く話です。 そこで登場するのが「プライベート認証局(オレオレCA)」。 単純に構築・運用するだけでは何も変わりませんが、SSL(第三者認証)の性質上 プライベート認証局の証明書「ひとつ」をクライア
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
