[B! TLS] skypenguinsのブックマーク

skypenguins id:skypenguins

TLSに関するskypenguinsのブックマーク (23)

IoT機器のTLS通信で立ちはだかる証明書の運用 - SORACOM公式ブログ
こんにちは。ソリューションアーキテクトの渡邊です。 IoTでTLSを使った通信を行う場合によく﹁運用が大変﹂と言われます。デジサート・ジャパンのレポート﹁2021年 PKI自動化に関する現状調査﹂によると、標準的な企業では現在、50,000 以上の証明書を管理しているとのことです。通信をセキュアにしたいだけなのに、どうしてこのような運用の手間が増えてしまうのでしょうか。 IoTの﹁つなぐ﹂を簡単にするサービスを提供している SORACOM では、IoT向けの通信をより簡単にセキュアにするためのアプリケーションサービスも提供しています。そこで本ブログでは、IoT機器でTLS通信を行う際に求められる﹁運用の手間﹂を明らかにし、SORACOM のアプリケーションサービスを使った場合の﹁簡単さ﹂について改めてご紹介できればと思います。なお、TLS通信のそもそもの仕組みや手順については、本ブログ
skypenguins 2024/03/29
TLS

iot

運用
リンク
[PDF] TLSとWebブラウザの表示のいまとこれから～URLバーの表示はどうなるのか～ 2019/5/31 NTTセキュアプラットフォーム研究所奥田哲矢
TLSとWebブラウザの表示のいまとこれから～URLバーの表示はどうなるのか～ 2019/5/31 NTTセキュアプラットフォーム研究所奥田哲矢ユーザ認証局 Web サービスブラウザ 2 SSL/TLSとは？ →相手の顔が見えないインターネット上で安全な通信を実現する仕組み・SSL/TLSの目的は、2者間通信に ”セキュアチャネル” を提供すること・”セキュアチャネル” は下記機能を提供する。・エンドポイント認証：サーバ認証は必須、クライアント認証は任意（※サーバの運営元の信頼性は必ずしも保証されない → 詳細は本編で）・データ機密性：通信内容をエンドポイント間で秘匿・データ完全性：攻撃者による通信内容の改ざんの検知はじめにユーザ Web サービスブラウザ “セキュアチャネル” Internet 3 T S H R 本編に入る前に今年のSSL/TLS分野の話
skypenguins 2023/10/10
TLS

セキュリティ

ブラウザ

web
リンク
HPKE とは何か | blog.jxck.io
Intro HPKE (Hybrid Public Key Encryption) が RFC 9180 として公開された。 RFC 9180: Hybrid Public Key Encryption https://www.rfc-editor.org/rfc/rfc9180.html HPKE は、公開鍵暗号方式と共通鍵暗号方式を組み合わせて(ハイブリッド)任意の平文を暗号化するための、汎用的な枠組みとして標準化されている。この仕様は、多くのユースケースが想定されており、 RFC になる前から ECH (Encrypted Client Hello), MLS (Message Layer Security), OHTTP (Oblivious HTTP) など、さまざまな仕様から採用を検討されている。本サイトで書く予定の他の記事でも HPKE は頻出する予定であり、今後より多く
skypenguins 2023/04/09
暗号

TLS

セキュリティ
リンク
TLSが難しい？RustとLinuxカーネルで実装しよう！
TLS︵Transport Layer Security︶が難しすぎると、お嘆きのセキュリティファースト世代の皆様、RustでLinuxカーネルを実装しながら学んでみましょう！カーネルモジュールの実装は難しい？それは誤解です。TLSをアプリケーションとして実装しようとすると、各種のライブラリを検索していたつもりが、SNSを眺めていて、一日が終わっていることありますよね。カーネルモジュールを実装するために使えるのはカーネルの機能だけです。検索する必要はなく、雑念が生じる余地はありません。その集中力があれば、カーネル開発は難しくありません。 TLSとLinuxカーネル皆様の中には、LinuxカーネルはTLSをサポートしているのでは？と思っている方がいるかもしれません。TLSは実際のデータの送受信の前に、ハンドシェイクと呼ばれる、暗号鍵の合意や相手の認証を実施します。ハンドシェイク後、Linu
skypenguins 2022/12/30
TLS

linux

rust

セキュリティ
リンク
TCPとQUICの比較
ジェフ・ヒューストンのブログより。QUICトランスポート・プロトコル(RFC 9000)は、オリジナルのTCPトランスポート・プロトコルを改良したものに過ぎないという一般的な見解があります[1][2]。私は、この意見に同意し難く、私にとってQUICは、通信のプライバシー、セッション制御の完全性、柔軟性の面で、アプリケーションが利用できるトランスポート機能における重要な変化を象徴しています。QUICは、より多くの形式のアプリケーションの動作に本質的に役立つ、異なる通信モデルを体現しています。そうです。TCPよりも高速です。私の意見では、公衆インターネットは、いずれQUICがTCPに取って代わると思っています。ですから、私にとってQUICは、TCPに少し手を加えただけのものではありません。ここでは、TCPとQUICの両方について説明し、QUICがトランスポート・テーブルに加えた変更について見
skypenguins 2022/11/14
ここのブログ、HNで話題になった記事を機械翻訳して特に解説もせずに全文転載してるだけなのに、よくHotentryに上がってくるよね

ネットワーク

SSL

TLS

quic
リンク
The Illustrated TLS 1.3 Connection
In this demonstration a client connects to a server, negotiates a TLS 1.3 session, sends "ping", receives "pong", and then terminates the session. Click below to begin exploring. The client begins by generating a private/public keypair for key exchange. Key exchange is a technique where two parties can agree on the same number without an eavesdropper being able to tell what the number is. An expla
skypenguins 2022/04/23
TLS

セキュリティ

web
リンク
イラストで正しく理解するTLS 1.3の暗号技術
イラストで正しく理解するTLS 1.3の暗号技術初めにここではTLS 1.3︵以下TLSと略記︶で使われている暗号技術を解説します。主眼はTLSのプロトコルではなく、﹁暗号技術﹂の用語の挙動︵何を入力して何を出力するのか︶と目的の理解です。実際にどのような方式なのかといった、より詳しい説明は拙著﹃図解即戦力暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書﹄︵暗認本︶や﹃暗認本﹄の内容を紹介したスライドや動画などの資料集をごらんください。なお表題の﹁イラストで﹂は数式を使わないという程度の意味です。 TLSで守りたいもの TLSはコンピュータ同士が安全に通信するための規格です。主に人がブラウザを介して﹁https://﹂で始まるWebサイトにアクセスするときに利用されます。安全に通信するためには、通信内容が盗聴されても情報が漏れない機密性が必要です。それから通信が改
skypenguins 2022/03/16
TLSなら公開鍵暗号使ってるって思ってた

TLS

暗号
リンク
TLSとDANEの組み合わせ
skypenguins 2021/09/01
TLS

DNS

インターネット
リンク
え、HTTPSの転送なのにファイルも暗号化するんですか？？？
TL;DR 基本的には二重での暗号は不要ただし、転送後も暗号化したまま使うなら、転送前から暗号化するのは良いルールXを無邪気に追加して不整合のあるセキュリティルールを作ってはいけないはじめに社内のセキュリティルールやスタンダードを決めるときに、HTTPSなのにVPN必須になってたりファイル暗号も必須になってたりするケースたまに見ます。今回は、それは実際に必要なことなのか？セキュリティ的に有効なのか？という点で考察をしていきたいと思います。背景二重三重に暗号化しても性能ペナルティが無いなら「なんとなく安全そうだから」でOKにしてしまいがちなのですが、これはよく考える必要があります。というのも「ルールXを追加することで既存のルールAと不整合が出る」ってことは割とよくあるからです。具体的には「SCPのファイル転送は（SCPのセキュリティに不備があった時の）安全性のためにファ
skypenguins 2021/03/21
セキュリティ

TLS
リンク
オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列
あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに﹁SSL証明書とPKIについて説明する﹂というのがある。世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。︵さもなければchromeがユーザーに不吉な警告を発することになる︶証明書が必要になる度、同じ質問が繰り返される。﹁なんか全部値段が違うけど、どの証明書︵ブランド︶がいいの？﹂と。そして私たちは毎回困ってしまう。エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも
skypenguins 2020/01/17
https

SSL

tls

セキュリティ

日本
リンク
DNS over TLS/HTTPSについて考える | IIJ Engineers Blog
はじめに昨年から DNS over TLS ︵DoT︶、DNS over HTTPS ︵DoH︶にまつわる動きが急速に活発になっています。 DoT は2016年に RFC7858 が出てしばらくは大きな動きはありませんでしたが、2017年11月にサービス開始したpublicDNS である Quad9 ︵9.9.9.9︶、昨年4月開始の Cloudflare ︵1.1.1.1︶が相次いで DoT に正式対応し、遅れて今年1月には GooglePublicDNS ︵8.8.8.8︶も対応しました。クライアント側としては昨年8月リリースの Android 9 “Pie” が DoT に対応しています。 DoH は仕様の標準化より実装の方が先行しています。Cloudflare は DoT だけでなく DoH も昨年4月のサービス開始当初からサポートしています。Mozilla Fire
skypenguins 2019/05/08
DNS

TLS

サーバ

ネットワーク
リンク
RustはHeartbleedを防げたのか？ - 低レイヤ強くなりたい組込み屋さんのブログ
はじめに ja.wikipedia.org 2014年に、﹁OpenSSL﹂にHeartbleedという脆弱性が見つかり、話題になっていました。この脆弱性は、典型的なメモリ操作に関するバグであったため、Rustであれば発生しなかったのではないか？という観点で調べていると、過去に同じ主張をしている文献をいくつか発見しました。こういうのは、後からなら何とでも言える部分があるのですが、やはりRustなら発生しなかっただろうな、というのが私の見解です。 Rustでは、メモリ操作に関連する脆弱性になり得るコードの多くが、コンパイル時にチェックされます。スライスやコレクションについては、実行時に境界チェックが入るため、最悪サービスが停止しますが、データが流出したり、バグったまま動き続けるようなことはありません。なるべく、安全なプログラミング言語を使って、開発を進められるようにしていきたいですね
skypenguins 2019/02/20
プログラミング

TLS

セキュリティ
リンク
GPKIよ、おととい来やがれ！(タイトルで煽るスタイル) - yumetodoの旅とプログラミングとかの記録
はじめに煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。一応 GPKIとはなにか？ - ITdigitalforensic.jp の内容が理解できる程度にはわかっているつもりですが。前提知識誰がどんな立場にいるかわからんと全くわからんと思うので CA/Policy Participants - MozillaWiki 問題アプリケーション認証局２(Sub) | 政府認証基盤(GPKI)のホームページにもあるように、 https://www.gpki.go.jp/selfcert/finger_print.html にアクセスしようとするとのようにルート証明書が信用できんといわれるんですね。それで、ルート証明書を信用してくれるように mozilla.dev.security.policy ﹀ Japan GPKI Root Renewal Request ︵
skypenguins 2018/12/09
https

PKI

Mozilla

TLS
リンク
HTTP/3が出るらしいという話を雑に書く - Qiita
概要インターネットに関する技術の標準化を司る、IETF(Internet Engineering Task Force)のWG(Working Group)において、HTTP-over-QUICが正式にHTTP/3という名前になることで合意が取れました。(ゆきさんからのご指摘内容を修正しました) しかし、そもそもこのQUICやHTTP/3って何なんでしょうか？ Webに関わる僕たちエンジニアにとってどういう関わり方をするのか、考えてみました。この記事は怪文書ですので、雑と書いてあるところは私見として軽く流してください。追記詳解HTTP/3を翻訳しました！雑に理解したあとはこの本を読んでみるといいと思います。QUIC・HTTP/3ってなに？QUIC QUICは、Googleのエンジニアが提案した仕様が発端となって作られている、新しいトランスポート層のプロトコルです。従来はgQU
skypenguins 2018/11/15
http

プロトコル

インターネット

TLS
リンク
Custom domains on GitHub Pages gain support for HTTPS
ProductCustom domains on GitHub Pages gain support for HTTPSEncryption for all GitHub Pages sites Today, custom domains on GitHub Pages are gaining support for HTTPS. GitHub Pages is the best way to quickly publish beautiful websites for you and your projects. Just edit, push, and your changes are live. GitHub Pages has supported custom domains since 2009, and sites on the *.github.io domain have
skypenguins 2018/06/17
先走ってCloudflare使ってHTTPS化しちゃったよ…

github

web

https

TLS
リンク
今なぜHTTPS化なのか？インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
︻変更履歴 2018年2月15日︼当初の記事タイトルは﹁いまなぜHTTPS化なのか？技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景﹂でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
skypenguins 2018/02/23
https

TLS

セキュリティ

web

インターネット
リンク
TLS徹底演習
セキュリティ・キャンプ全国大会2016 集中講義
skypenguins 2016/08/11
TLS

セキュリティ

web

SSL

https
リンク
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、前方秘匿性の問題から RSAのみを用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは次に、HTTPSです。 HTTPS - Wikipedia HTTPS︵Hypertext Transfer Protocol Secure︶は、HTTPによる通信を安全に︵セキュアに︶行うためのプロトコルおよびURIスキームである。厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供されるセキュアな接続の上でHTTP通信を行うことをHTTPSと呼んでいる。とのことです。 HTTPの説明を割愛するとすれば、﹁SSL/TLSでセキュアにHTTPをやる﹂というだけの説明で済んでしまいます。最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
skypenguins 2016/08/04
＞RSA暗号など実際に公開鍵暗号として採用されているアルゴリズムは「開け方がわかっているけれど開けられない」/解き方は分かるけど、時間がかかり過ぎて意味がなくなるってことね…よくできてるんだなTLSって

SSL

https

セキュリティ

TLS
リンク
HTTP ページ上でのパスワード要求はやめましょう
[これは Mozilla のセキュリティエンジニア Tanvi Vyas 氏のブログ記事 No More Passwords over HTTP, Please! を同氏の許可を得て翻訳したものです] Firefox 46 Developer Edition は、HTTP ページ上でログイン情報の入力を求められた場合、開発者に警告を行います。ユーザ名とパスワードの組み合わせは、ユーザの個人データへのアクセスを管理する手段です。Web サイトはこうした情報を注意深く扱い、パスワードは HTTPS のような安全な (認証、暗号化された) 接続を通じてのみ要求すべきです。しかし残念なことに、HTTP のような安全でない接続でユーザのパスワードが扱われている例が非常に多く見られます。このプライバシーとセキュリティの脆弱性を開発者の皆さんに知らせるため、最新の Firefox Develope
skypenguins 2016/02/10
http

Mozilla

firefox

セキュリティ

https

TLS

SSL

開発
リンク
nginxのngx_stream_ssl_moduleでTLS終端+WebSocket負荷分散 - ASnoKaze blog
先日、NginxのTCP Load BalancingがOSS版でも使えるらしいので試すで書いたとおり、Nginx 1.9よりTCP Load Balancing機能が使える見込みである。今回は、更にTLS終端を可能にするngx_stream_ssl_moduleも合わせて使用し、WebSocket over TLSの負荷分散を試してみる。 ngx_stream_ssl_module ngx_stream_ssl_moduleでは、接続をTLSで受付け、その中身のメッセージをバックエンドに送信する。 TCP Load Balancingの時と同じようにHTTP/HTTPSに限った機能ではないことが特徴となる。 (ただし、ALPNが必要なプロトコルだと少々扱いが難しい) 使うには、前回同様最新リビジョンをビルドする必要がある http://hg.nginx.org/nginx/ より最新リ
skypenguins 2015/11/22
websocket

nginx

SSL

tls

ロードバランサ

開発
リンク
1 2 次のページ