【OpenSSL】A challenge password は秘密鍵のパスワードではありません。
SSLの秘密鍵のパスフレーズを確認する - Webエンジニアの技術メモ 〜PHP、SQL、Linuxなど〜
覚えているが、念のため確認したいケース 以下でパスフレーズを聞かれるので、入力する事で確認できる $ openssl rsa -des3 -in server.key -out server.key.newあっていれば、そのまま新しい鍵が作成できる為、パスフレーズの変更にも使えます パスフレーズを解除したい時はこちら。一旦以前のパスフレーズが聞かれます $ openssl rsa -in private.key -out private.key Enter pass phrase for private.key: writing RSA key再度同じコマンドを打ってもパスフレーズが聞かれません(つまり解除されている) $ openssl rsa -in private.key -out private.key writing RSA key
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
Apache + OpenSSL CSR生成手順 (新規)|CSRの生成方法|マニュアル|サポート|SSLサーバ証明書 ジオトラスト
必ずお読みください 本文書の内容によって生じた結果の影響について弊社では一切の責任を負いかねますこと予めご了承ください。 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。 事前にご確認ください 当社では、お客様が利用するウェブサーバアプリケーション および ウェブブラウザの仕様や証明書の導入にあたっての設定、不具合などのサポートを行っていません。各製品の開発元・販売元にお問合せいただいています。明確なお問合せ先のないApache やOpenSSLなどのフリーウェアの設定などの不明点や、発生した不具合については、お客様の責任においてご対応いただくことになります。あらかじめご了承ください。 作業
2020年9月よりAppleがSSL証明書の有効期間を13か月に短縮!詳細や対策とは? | さくらのSSL
今後Safariで起きること Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。 このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。 具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。 購入済み
大規模なユーザーコンテンツのHTTPS化 Let's Encryptも活用した「はてなブログ」のこだわり - GeekOut
国内外を問わず、多くのWebサービスで「HTTPS化」が進んでいます。暗号化通信によってユーザーの情報を盗聴から保護し、データの改ざんやなりすましを防ぐことでセキュリティを強化できる上、HTTPSを前提とした新たな技術が活用できることがメリットです。 HTTPSでない通信をWebブラウザが注意喚起する対応も進んでいます。Google Chromeでは、2018年7月に正式リリースされたバージョン68から、HTTPで配信されるページコンテンツに対して、アドレスバーに「保護されていない通信」と表示されるようになりました。今後は、さらに厳しく警告されることになるようです。 こうした動向を踏まえて、株式会社はてなが提供するブログサービス「はてなブログ」でも、HTTPS化への準備が2017年9月に告知され、2018年6月にかけて移行が順次行われました。その実現には、ブログサービスならではのさまざまな
Let’s EncryptとACME | IIJ Engineers Blog
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 2018年7月はWeb業界にとって記憶に残る日になるでしょう。httpsが標準となった日として。 これまでWebサイトへのアクセスにはhttpを利用するのが通常で、安全性が求められる場合にはhttpsを利用すると考えられてきましたが、これからはhttpsを使うのが当たり前になっていくでしょう。この流れを強力にけん引しているのは、保守的な我が国においてもトップシェアブラウザとなったChromeを擁するGoogleであることはご存知の通りです。これまではhttpでのアクセスには特に表記はなく、httpsでアクセスすると「保
ApacheでOpenSSLのセキュリティを強化する - Qiita
セキュリティランクの確認 OpenSSLを利用されている方は下記サイトでセキュリティランクを確認してみると良いでしょう。 https://sslcheck.globalsign.com/ja/ apacheの設定 /etc/httpd/conf.d/ssl.confなどに下記を追加しましょう。 $ sudo vim /etc/httpd/conf.d/ssl.conf SSLHonorCipherOrder ON ##追記 SSLCipherSuite EECDH+HIGH:EDH+HIGH:HIGH:MEDIUM:+3DES:!ADH:!RC4:!MD5:!aNULL:!eNULL:!SSLv2:!LOW:!EXP:!PSK:!SRP:!DSS:!KRB5 ##追記 [許可されてる暗号方式の確認方法] $ openssl ciphers -v [制限したときの暗号方式の確認] $ ope
世界30%のSSL証明書が3月と10月に強制無効化!? あなたのサイトが大丈夫か確認する3ステップ | 初代編集長ブログ―安田英久
2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン/シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元: SymantecGeoTrustRapidSSLThawte無効化スケジュール: 2018年3月15日ごろ: Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ: Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ: Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ: Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼
既存SSL設定を無料SSLに乗り換えたい | さくらのサポート情報
このマニュアルでは、すでにラピッドSSLやJPRSドメイン認証型、手動でインストールしたLet’s Encryptなどの証明書を使ってSSL化している方が無料SSL機能を使って無料で自動更新の証明書に乗り換える手順をご紹介しています。 現在Let’s Encryptを手動インストールされている場合、3ヶ月毎に証明書の更新が必要です。 無料SSL機能を利用すると、自動更新となり更新の手間がかからなくなります。 現在SSLを利用しておらず、新規でSSL設定を始める場合は無料SSL(Let's Encrypt)を設定したいをご確認ください。 無料SSL機能は米国の非営利団体であるInternet Security Research Group(ISRG)の運営するLet’s Encryptを利用しています。 利用には提供元のポリシーに同意する必要があります。 SMTP over SSL や PO
DNS CAA レコードを設定したい | さくらのサポート情報
SSLサーバー証明書を第三者が勝手に発行することを防止する仕組みです。 認証局(CA)はSSLサーバー証明書を発行する際にDNSを確認し、ドメイン所有者がその認証局にSSLサーバー証明書の発行を許可しているかどうかをチェックします。 2017年9月現在、この設定はユーザの任意とされているため、設定しなくてもSSLサーバー証明書の発行に支障はありません。 CAAレコード設定の仕様 ドメイン所有者はDNSの設定画面からCAAレコードに値を設定します。設定する値は以下の例をご確認ください。 認証局はSSLサーバー証明書を発行する際にDNSのCAAレコードを参照し、自分の認証局のコモンネームが設定されているか、空の場合に証明書を発行することができます。 他社の認証局のコモンネームが設定されている場合は証明書を発行できません。 CAAレコードはサブドメイン、ルートドメイン(ネイキッドドメイン or
SSL使用時にApacheの再起動時で必要なパスワードの入力を省略 - Qiita
今回やること SSL証明書を使用する場合、Apacheの再起動時に秘密鍵のパスワードの入力を求められます。 開発段階だと、VirtualHostの設定を変更する度に再起動したりすることが多く、一台に複数のアプリケーションを保持している場合は、それぞれのパスワードの入力が必要になります。 これが結構手間で割と安全に省くことができるので紹介します。 現状の確認 CentOS 6.8 Apache 2.2.15 $ sudo service httpd restart Stopping httpd: [ OK ] Starting httpd: Apache/2.2.15 mod_ssl/2.2.15 (Pass Phrase Dialog) Some of your private key files are encrypted for security reasons. In order t
フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル
Let's Encrypt を発表してから、私たちはよく、「どうやってフィッシング詐欺サイトやマルウェア配布サイトにSSL/TLSサーバ証明書を発行しないことを保証しているのか」と尋ねられます。 最もよくあるのは、「フィッシング詐欺サイトやマルウェア配布サイトが有効な HTTPS 証明書を持ってしまうと、それらのサイトがより正当なサイトに見えてしまい、それらのサイトを信用してしまう人々が増えてしまうのではないか」という懸念です。 この問題についての方針を決めることは、とても困難です。 一方で、私たちはフィッシング詐欺サイトやマルウェア配布サイトを他の誰よりも嫌っており、私たちの使命はより安全で安心できるWebの構築を助けることだと考えています。 しかしもう一方では、2015年現在の段階において、私たちが(フィッシング詐欺サイトやマルウェア配布サイトに対しても、他のWebサイトに対してと同じ
@IT Special PR:「ドメイン認証型」と「企業認証型」2種類のSSL証明書、さあどっちを選ぶ?
安全なインターネットライフに不可欠な錠のマーク、これはSSL証明書により通信が暗号化されている証しだ。実はこのSSL証明書、役割により2つの種類があることをご存じだろうか? インターネットでお買い物、インターネットで振込、残高照会……これらはすでに当たり前の時代になった。そこでは「安全のため、南京錠のマークが表示されているかを確認しましょう」ということもほぼ“常識”だ。錠や鍵のマーク=安全、安心という図式、しかし、いったいなぜ安全、安心なのだろうか? この錠や鍵のマークは、SSLプロトコルでサーバと通信しているという意味だ。SSL(Secure Sockets Layer)とは電子証明書を用いた、暗号化通信の仕組みだ。通信している相手以外の第三者からは通信が傍受できないようになっていることの証明として、錠や鍵のマークが表示される。だから安全、安心なのだ。 さて、ここで1つ知っておきたいこと
apacheのmod_rewriteでSSL通信を強制する。 - Blanktar
ログインが必要なサイトを作っていると、このページはSSLを強制したい、みたいのがあるじゃないですか。 いや、うちは全く関係ないんですけれどね。 そういうサイトをいじらせてもらう機会があったので、メモ。 mod_rewriteについては apache2のhttpd.confでURLの正規化をやってみたメモ。 なんかもどうぞ。 全部のURLで転送したい場合、httpd.confか**.htaccess**に Copy RewriteEngine on RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://example.com/$1 [R=301,L]
TechCrunch
Here’s an interesting move. Founders Future, a well-known VC firm in the French tech ecosystem, acquired an equity crowdfunding marketplace called Sowefund. While terms of the deal remain undisclose General Motors, self-driving car subsidiary Cruise and Honda plan to launch a robotaxi service in Japan under a new joint venture, the three companies announced today. The companies intend to launch t
mod_rewriteで、強制的にHTTPからHTTPSにする方法 | whitemitt.com
前回、mod_rewriteで、強制的にHTTPSからHTTPにする方法という記事を書きました。 その後、逆のことをする記事を書こうとしていたのですが、年度末の多忙に加え震災の影響もあり、なかなか時間を作れませんでした。 てなわけで、やっと書いていこうと思います。 今回の想定 今回は、SSL対応ページにて、何かの間違いなどでHTTPプロトコルで送信されると困る場合を想定しています。 例えば、個人情報が絡むお問い合せフォームや、ショッピングシステムの決済ページなどですね。 HTTPとHTTPSでドキュメントルート(公開ディレクトリ)が異なれば問題ないことなのですが、ドキュメントルートが同じ場合にはこういったことを想定しておいた方がいいでしょう。なにぶんhttpsをhttpにするだけで同じようにページが表示されてしまう訳ですから。 そういった時などに、何が何でもSSLプロトコルを通して送信して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.jp.websecurity.symantec.com/welcome/pdf/wp_sid_ca-selection.pdf
ComputerworldとCIO Magazineは閉鎖しました
GoogleがWebでのSHA-1の利用停止を急ぐ理由 | POSTD