はじめに yumetodo.hateblo.jp の記事を書いたyumetodoです。やっぱりGPKIよくわかってません(ぇ。 結論 自前認証局によるGPKIは安らかな眠りにつきそうです。 セコムトラストシステムズさん、あとは任せた。 2月のGPKI騒動は結局何だったか 上の記事を書いたのが2月のことです。 2018年3月1日木曜日 1時15分06秒 UTC+9 Elic Mill So, to be clear, you would only revoke misissued certificates if required to do so by Mozilla -- not because they represent control failures, or in order to demonstrate to other root programs your CA's respo

tl;dr 驚くべきハックにより旧Androidも引き続き証明書エラーなくサイトを閲覧できそうです いよいよ5/4に標準の証明書チェーンが切り替わります 前回までのおさらい Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる Let's Encryptの証明書切替周りその後 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしています。現在は、IdenTrustのルート証明書(DST Root CA X3)が使われています。 正確に言うと、ISRGは新しい認証局なのでそのルート証明書の普及率も当然低く、中間証明書はIdenTrustのルート証明書でクロスサインされており、それが標準で使われています。標準がDSTになっているだけで、ISRGのルート証明書のチェーンの証明書も指定すれば今で

はじめに モバイルアプリを開発しているときに、アプリとサーバー間の通信を確認したいときがあります。たとえば、期待通りの HTTP リクエストが送られているか調べたり、サーバーからのレスポンスが間違っていないか確認したりする必要が生じます。 そんなときに、いちいちデバッガで止めても良いのですが、プロキシをはさめば簡単に通信を覗くことができます。しかも、レスポンスを改竄して、わざと不正なレスポンスにしてアプリがクラッシュしないかテストしたり、特定のリクエストだけブロックしてサーバー障害を擬似的に再現することができます。 mitmproxy とは mitmproxy は man-in-the-middle 型のプロキシサーバーのツールです。OS X や Windows、Linux 上で動作し、対話式の CUI を持ちます。SSL サポートをしている点が特長になります。 公式サイト: http:/

今回は Android エミュレータでアプリを動かして、アプリが行う HTTP / HTTPS 通信の中身を覗いてみます。 環境&ツール Windows 10 Android Studio のエミュレータ (v3.2.1) mitmproxy (v4.0) 準備 ツールのインストール Android Studio と mitmproxy をインストールしてください。 仮想デバイスの作成 私は以下の構成で仮想デバイスを作成しました。 ハードウェア Pixel 2 システムイメージ API Level : 28 ABI : x86 Target : Android9.0 (Google APIs) ※ Android9.0 (Google Play) と書かれたイメージだと adb root が使えないで、 Android9.0 (Google APIs) と書かれたイメージを選択してください

はじめに 煽っておいてすみません。ぶっちゃけGPKIよくわかってないです。 一応 GPKIとはなにか？ - IT digitalforensic.jp の内容が理解できる程度にはわかっているつもりですが。 前提知識 誰がどんな立場にいるかわからんと全くわからんと思うので CA/Policy Participants - MozillaWiki 問題 アプリケーション認証局２(Sub) | 政府認証基盤(GPKI)のホームページ にもあるように、 https://www.gpki.go.jp/selfcert/finger_print.html にアクセスしようとすると のようにルート証明書が信用できんといわれるんですね。 それで、ルート証明書を信用してくれるように mozilla.dev.security.policy › Japan GPKI Root Renewal Request （

社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 2018年7月はWeb業界にとって記憶に残る日になるでしょう。httpsが標準となった日として。 これまでWebサイトへのアクセスにはhttpを利用するのが通常で、安全性が求められる場合にはhttpsを利用すると考えられてきましたが、これからはhttpsを使うのが当たり前になっていくでしょう。この流れを強力にけん引しているのは、保守的な我が国においてもトップシェアブラウザとなったChromeを擁するGoogleであることはご存知の通りです。これまではhttpでのアクセスには特に表記はなく、httpsでアクセスすると「保

Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。 シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証（EV）ステータスの認識を停止することです。 シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。 SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザー

【2018/11/16 追記】 本記事は、2016 年 4 月に Google Public DNS サーバに実装された、実験的な DNS over HTTPS プロトコルについて紹介しています。DNS over HTTPS プロトコルはその後 IETF の doh ワーキンググループにて標準化が進められ、2年半後の 2018 年 10 月に RFC8484 として出版されました。本記事で紹介したプロトコルは RFC8484 に規定されたプロトコルとはいくつもの点で異なっていることにご注意ください。 Google Inc. が公開 DNS サーバを運営していることはご存知でしょうか? Google Public DNS と呼ばれるこの公開 DNS サーバは、”8.8.8.8″ という特徴的な IP アドレスで全世界のインターネットユーザに対して無料の DNS サーバ(フルレゾルバ)を提供し

Webサイトの暗号化（SSL化、HTTPS対応）はこれまでEコマースやプライバシを守る目的で部分的に導入されてきたが、SHA1からSHA2への切り替え、モバイル端末の普及やHTTP/2の登場によって、サイト全体を常にHTTPS通信にする常時SSL化の動きが活発になっている。さらにSSLサーバー証明書を無償で入手可能なLet’s Encryptのサービス開始や主要なWebサーバーソフトウェアの安定版でHTTP/2が利用できるようになったことでその動きは加速している。本稿ではSSL化を取り巻く最近の状況を整理し、NginxとLet’s EncryptによるHTTP/2＆SSL化の実装例も紹介していく。 これまで証明書の無償入手は限定的 HTTPSのWebサイトを運用するには通常、商用の認証局にSSLサーバー証明書の発行を申し込み、必ず費用が発生するものだった。一部限定した目的では無償で利用でき

TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS（Hypertext Transfer Protocol Secure）は、HTTPによる通信を安全に（セキュアに）行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった

<20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> 【追記　2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。 EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。 スクリーンショットは【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意！」そっくりらしいのだが、なん

寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP（アクセスポイント）があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します（Secure属性使うと盗聴は防げますが、改変は防げません）。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe

Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな～ と思って書いてみた、恒例の （？） 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL

新しいPCを購入し、セットアップを終えてOSが起動したあと、頼んでもいないプログラムが大量にインストールされているのを見て、嫌な気分を味わったことはないだろうか。セキュリティソフトの試用版あたりはまだしも、見栄えも使い勝手も悪いランチャー、どうでもいいショッピングアプリ、つまらないゲームや体験版、初心者向けと称するがほぼ初心者にも役に立たない解説アプリの数々……。愚にも付かない代物がデスクトップやスタート画面を埋め尽くし、ディスク容量や場合によってはメモリも無駄に消費している。この手の無駄なプリインストールソフトウェアは「crapware（ごみソフト）」「bloatware（水増しソフト）」などと呼ばれる。メーカーによっては、個人向けだけでなく法人向けモデルにまでクラップウェアが入っていることがあり（さすがに個人向けよりは少ないが）、うんざりさせられる。 だが、うんざりする程度ならまだ良か

先週、httpvshttps.com というウェブサイトが公開されました。このウェブサイトでは、HTTP と HTTPS を用いてアクセスした場合のウェブページのダウンロード完了までにかかる時間の比較ができるのですが、多くの環境で HTTPS の方が HTTP よりも高速なことに驚きの声が上がっていました。 HTTP が TCP 上で平文を送受信するのに対し、HTTPS は TCP 上で TLS (SSL) という暗号化技術を用いて通信を行います。ならば、TLS のオーバーヘッドのぶん HTTPS のほうが遅いはずだ、という予測に反する結果になったのですから、驚くのも無理はありません。 実は、この結果にはからくりがありました。 Google Chrome、Mozilla Firefox、最近のSafari注1は、Google が開発した通信プロトコル「SPDY」に対応しており、HTTPS

やっと、ついに、誰もが無料でHTTPSを使えるようになる！…MozillaやEFFが共同プロジェクトを立ち上げ - TechCrunchだが、ブコメ欄で「フィッシングサイトが見分けられなくなる」と勘違いしている向きがあるようなので、ちょっと書いておく。 このLet's Encryptだが、Let’s Encrypt: Delivering SSL/TLS Everywhereに説明が書かれている。そもそも上のTechCrunchの記事ではLet's Encryptがどういうものか分からない。この記事では何ができて何ができないかを書いていないし。 TechCrunchの記事はオレが見た時点(2014/11/20 5:00)ですごいブクマ数(792ユーザ)なんだけど、本体の説明のブクマ数は4ユーザ、オレがブックマークしたので5ユーザである。ちょっと調べてからコメントすればいいのに。 下記のほう

平素よりQA＠ITをご利用いただき、誠にありがとうございます。 QA＠ITは「質問や回答を『共有』し『編集』していくことでベストなQAを蓄積できる、ITエンジニアのための問題解決コミュニティー」として約7年間運営をしてきました。これまでサービスを続けることができたのは、QA＠ITのコンセプトに共感をいただき、適切な質問や回答をお寄せいただいた皆さまのご支援があったからこそと考えております。重ねて御礼申し上げます。 しかしながら、エンジニアの情報入手方法の多様化やQAサービス市場の状況、＠ITの今後のメディア運営方針などを検討した結果、2020年2月28日（金）15:00をもちましてQA＠ITのサービスを終了することにしました。 これまでご利用をいただきました皆さまには残念なお知らせとなり、誠に心苦しく思っております。何とぞ、ご理解をいただけますと幸いです。 QA＠ITの7年間で皆さまの知識