2025年8月1日に開催された、JANOG56 Meeting 野良LT BoFの発表資料です。

追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST

独裁政治が続くカザフスタンでは、政府が認証したルート証明書のインストールが国民に強制されています。このルート証明書を導入してしまうとHTTPSプロトコルの暗号化通信が政府に傍受される可能性がある、という強い批判を受けて、MozillaとGoogleがカザフスタン政府によるルート証明書をブロックすることを表明しました。 Google Online Security Blog: Protecting Chrome users in Kazakhstan https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html Mozilla takes action to protect users in Kazakhstan - The Mozilla Blog https://blog.mozill

今後、韓国政府がアクセスを禁止した違法わいせつ物や賭博などのウェブサイト８９５サイトに接続しようとすると画面がブラックアウト状態になる。放送通信委員会は放送通信審議委員会が遮断を決めた海外の違法ウェブサイト８９５サイトに対するアクセスを根本から封じ込めるためにこのような措置を取ると１２日、明らかにした。 今回の措置はすでに政府が取っている違法有害サイトの遮断方式に比べて強度を高めた。これまで政府は違法有害サイトのインターネットアドレス（ＵＲＬ）を遮断するＤＮＳ（ドメイン・ネーム・システム）を利用していた。ユーザーが違法有害サイトのアドレスを利用してアクセスしようとすると「Ｗａｒｎｉｎｇ」警告ウィンドウが出てくるようにしていた。

.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads

We’re pleased to announce that ACMEv2 and wildcard certificate support is live! With today’s new features we’re continuing to break down barriers for HTTPS adoption across the Web by making it even easier for every website to get and manage certificates. ACMEv2 is an updated version of our ACME protocol which has gone through the IETF standards process, taking into account feedback from industry e

Apple reportedly plans to reveal its Gemini-powered Siri in FebruaryThe new Siri will make its debut in February before a full reveal at this year's WWDC, according to Bloomberg.

Takuya Digital crafts(man|dog). Love photography. Always making otherwise sleeping. born in 1984. Mac OSXをEl CapitanにしたらChromeでTwitterなどが開けない App Storeも開けないし、なんかCPUが過剰に動いているし、困りました。 VeriSignのSSL証明書が原因 似たような症状の人は多く、以下の記事に概ねの解決方法が示されています。 MacをOS X El CapitanにしたらApp StoreとかTwitterに繋がらなくなった時の解決方法 ｜ Developers.IO ようは、VeriSignが悪いんですね。 Keychain Accessが固まる 上記の解決法に倣って操作しようとすると、Keychain Accessがフリーズします。 フリーズ

443ポート以外が絶滅しそうです あちこちでポートは閉じられています。ssh や sftp もプロキシ利用も、各種ポートでは、全く外部に出れず、接続できないネットワークが多いです。 TCP/IPなのにIPとポートを使った通信ができない、壊れたネットワークが当然になりました。 これらの接続制限にとても不便を感じることが多いです。 サーバー管理者の気分一つでポートが空いたり閉じたり、私が触ってたネットワークではポリシーが統一されず、クソネットワーク管理者に振り回されて、動くはずのものが動かず、不便なことが多かったのです。そこで仕方なく４４３を使っています。 私達が利用する端末では80/443 のポートの外部接続が閉じられることは少なく、443であれば通信できます。 そのため、443ポートに様々なアプリケーションを起動していると思います。 443 ポートとIPアドレスが枯渇する・・・ よほどのG

by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,

攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。 インターネットの通信暗号化に使われるSSL/TLSプロトコルを使って通信を暗号化しているHTTPSサイトなどに深刻な脆弱性が発見された。研究チームはこの脆弱性を「DROWN」と命名し、3月1日に詳しい情報を公開。全HTTPSサイトの33％が影響を受けるとして、管理者に対応を急ぐよう呼び掛けている。 研究チームが専用サイトを通じて公開した情報によると、DROWN攻撃の脆弱性は、多くのサーバがTLSに移行しながら、設定ミスが原因で依然としてTLSの前身であるSSLv2もサポートしていることに起因する。 これまでは、SSLv2をサポートしているだけではセキュリティ問題が生じるとは考えられていなかったが、調査の結果、簡単に攻撃できてしまうことが判明し、サーバやクライアントが危険にさ

はじめに 新宿駅の線路立ち入り騒ぎに巻き込まれ、「線路立ち入りのアナウンス」＝「"痴漢"の隠語」という本当か嘘か判らない話を初めてしった今日この頃、皆様いかがおすごしですか？ 先日 ( 2015/5/12 )、IPAから SSL/TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～ という資料が公開されました。 最近の脆弱性も含め、どういった設定や運用を行うべきかが書かれているITセキュリティやITインフラに関わる方なら必読といってよい資料かと思われます。 しっかり読んで理解すべき資料だと思いますが、分量もそれなりにあるため、当座自分が関わっている環境、適用する設定に絞ってポイントをまとめてみます ( 自分/自社向け備忘録目的 )。 ※写真 : 写真素材ぱくたそ

中小企業IT担当者　菅雄一のブログ 現役のIT担当者で、オープンソースを活用した中小企業のIT化を提唱している菅雄一のブログです。 話題はオープンソース、中小企業のIT化、中小企業の現場の話などを書いています。 うかつだったが、恐ろしい話なので、体験談を書きます。 facecookにリッツカールトンでお見合いパーティー、特別3000円の広告があった。 (2015年5月4日時点) 申し込もうとしたら、クレジット決済だった。 何も考えずに申し込んだ。だが気づいた。SSL非対応のサイトだ。 (2015年5月4日時点) (2015年5月4日時点) そして確認メールが来た。 私の平文で私のクレジット番号が全て書かれているメールだった。 途中の経路で盗聴されている危険性があると思い、大慌てでカード会社に連絡。 カードを停止してもらった。 翌日、パーティ主催の会社から電話がかかる。 「理由はわかりません

「Let's Encrypt」のサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるようにする。 インターネット上の通信を暗号化するTLSの普及を目指し、手軽に実装できるサーバ証明書を無料で発行する認証局（CA）の「Let's Encrypt」が、MozillaやCisco Systemsといった大手のバックアップで創設された。 TLSを利用するためには、通信相手のサーバが本物であることを認証するための証明書をサーバ運用者が取得する必要がある。しかしこうした証明書は一般的には有料で、正しくインストールするのが難しく、アップデートにも手間がかかるとLet's Encryptは指摘する。 こうした問題を解決するため、Let's Encryptのサービスでは誰でもワンクリックで簡単に自分のドメイン用のベーシックなサーバ証明書を入手して実装できるよう

2015年2月19日、Lenovo製品のPCの一部にプリインストールされているアドウェアSuperfishに深刻な問題が確認されたとして報道されました。ここでは関連情報をまとめます。 公式発表 2015年2月19日 LENOVO STATEMENT ON SUPERFISH (魚拓：当初発表・変更後) 2015年2月20日 Superfishに関するレノボの見解 (魚拓：当初発表・変更後) 2015年2月20日 SUPERFISHの脆弱性 (魚拓) 2015年2月21日 Updated Lenovo Statement on Superfish (魚拓) 2015年2月21日 Superfish に関するレノボからのお知らせ（更新）(魚拓) 見解内容 2015年1月以降Superfishのサーバー側作用により完全に無効となっており、この無効化は市場に出回っている全てのSuperfishが対

Defconのセキュリティ責任者としてセキュリティを研究するMarc Rogers氏は、ブログで同アドウェアの問題の範囲と規模を詳細に説明している。同氏は米ZDNetに対し、消費者は直ちに自分のコンピュータが感染しているかどうかを確認する必要があると述べた。 「感染している場合は、（アドウェアが）削除されたことが確認できるまでそのコンピュータをいかなる種類のセキュアなトランザクションにも使用してはならない」と同氏は述べた。 セキュアなページの乗っ取り 米ZDNet.comのChris Duckett記者は米国時間2月19日、Lenovoは、SSL/TLS接続を介したインターネットトラフィックを傍受して乗っ取ることのできるよう、自己署名証明書を発行するルート認証局をインストールしていたと報じた。 Lenovoは広告企業Superfishと提携して、アドウェアを同社の消費者向けコンピュータにイ

Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで

これは HTTP/2 アドベントカレンダー19日目の記事です。 この記事はたくさんの資料を読んだ上で書きましたが、間違いとか勘違いとかがあるかもしれません。もしあれば、指摘していただけると幸いです。 実質的に必須となったTLS HTTP/2は、HTTP/1.1と同じく、暗号化なし/ありのポートとして、80と443を使います。そのため、通信開始時にHTTP/1.1とHTTP/2をネゴシエーションするための仕組みが、HTTP/2で定められています。 このように仕様としては暗号化なしのHTTP/2が定義されていますが、Firefox や Chrome が TLS を要求するために、実質的は暗号化ありが必須となっています。これは、米国の監視プログラムPRISMに代表される広域監視(pervasive surveillance)に対抗するために、IETFがさまざまな通信にプライバシの強化を要求する方