[B! SSL][security] negima1976のブックマーク

Google Chrome EV表示の終焉 - ぼちぼち日記

1. Chrome でEV証明書の組織名表示がなくなるついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。Upcoming Change to Chrome's Identity Indicators EV UIMoving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す﹁組織名+国名﹂表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに﹁組織名＋国名﹂が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく

negima1976 2019/08/12

リンク

Let's encryptとSSL/TLSに関する誤謬 - Chienomi

全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat

negima1976 2018/06/08

リンク

メモ：EV証明書でブラウザのURLバーを緑色にするのもうやめない？という話 - Technically, technophobic.

またSleeviさんがなんかぶっこんでいるのでメモ。 https://groups.google.com/d/msg/mozilla.dev.security.policy/szD2KBHfwl8/kWLDMfPhBgAJ 「EV証明書でもフィッシングサイトつくれるよ」という報告 2017年9月の記事。 EV証明書を取得するには実在の団体の登記が必要だけど、そんなものDark Webで買えるよね、と*1。 So what does an attacker do? Well they can purchase a valid stolen ID for a few pounds from the so called "Dark web" and just use, a service address as the address of the company and the director

negima1976 2017/12/18

リンク

GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された

エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている。概要 GoDaddy社は米国のホスティング（レンタルサーバー）やレジストラの大手で、認証局（CA）の事業も手がけています。 GoDaddyが発行するドメイン認証証明書の認証手続きに不備があったとして報告されています。 In a typical process, when a certificate authority, like GoDaddy, validates a domain name for an SSL certificate, they provide a random code to the customer and ask them to p

negima1976 2017/01/12

リンク

安全なWebサイトの構築方法（SSL編）　～Qualys SSL LABSでA評価を目指して～

年末をいかがお過ごしですか？おはこんばんちは、インフラチームのfujyaです。昨年の年末は色々とあって休みがほとんどありませんでしたが、今年はのんびり年末を過ごしています。2015年を振り返ってみるとOpenSSL周りの脆弱性や証明書のsha1からsha2への切り替えなど、SSL全般に関しての対応が多かったような気がします。シャノンでは、通信の秘密を守るために日夜SSL関連のチューニングを怠らなようにしてます。チューニングの結果を外部診断して確認する手段としてQualys SSL LABSの「SSL Server Test」を活用しています。SSLサイトチェックの定番です（よね？）。ここでA評価をもらう事が一つの安全の指標といえるのではないでしょうか。シャノンのサービスではもちろんA評価です。皆様に安心にご利用して頂くため、日々セキュリティアップデートがあれば対応を続け、A評価を保ち

negima1976 2015/12/30

リンク

理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷

apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuiteです。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH