すみだセキュリティ勉強会2018その2での発表資料です。

※タイトルが適切でないとの指摘があったため訂正しました(2018/05/02 20:19:12) × 通信の最適化を発表したmineo ↓ ○ 通信の最適化を開始したmineo 道乃 歩 @sh_rainbow295 > 通信事業者が「通信の最適化」などと称して勝手に自サイトのデータを改竄して届けていることになります。こうした行為は、Webサイト運営者がSSL対応によるHTTPS化を行うことで防ぐことができる 解説：mineoが悪名高い「通信の最適化」を開始。 – すまほん!! smhn.info/201804-tuusin-… きたあかり @nakosen9 サイトがhttpsであれば回避できるなら、今年7月までには結構な割合のサイトで気にしなくていい話にはならないのかな？ あんまり話題見かけないけどみんなChrome68用に常時SSL化しないんだろうか 解説：mineoが悪名高い「通信

by Suzy Hazelwood SSL/TLS証明書の大手認証局であるDigiCertは2018年2月28日に、約2万3000件の証明書を即時失効したと発表しました。失効の理由は、証明書販売代理店のCEOが証明書の秘密鍵を電子メールで送信してしまったためとのことです。 DigiCert Statement on Trustico Certificate Revocation - DigiCert https://www.digicert.com/blog/digicert-statement-trustico-certificate-revocation/ インターネットが一般家庭に普及し、必要な買い物もインターネットでできるようになりました。その一方で、買い物をするために必要なクレジットカードや個人情報など、他人に知られたくないデータがインターネットを介してやり取りされることも増えた

インターネットサービス企業のNetcraftは2018年1月29日(米国時間)、「The hidden “well-known” phishing sites｜Netcraft」において、フィッシング詐欺サイトの多くが「.well-known」と呼ばれるディレクトリ以下にホストされていると伝えた。ここ1カ月だけでも、新たに400のフィッシング詐欺サイトが「.well-known」以下にホストされたと指摘している。 「.well-known」ディレクトリは攻撃者が新たに作成したディレクトリではなく、攻撃を受けたWebサーバがもともと持っていたものである可能性があるという。/.well-known/は「well-known locations」と呼ばれ、「RFC5785 - Defining Well-Known Uniform Resource Identifiers (URIs)」にも定義

2018年3月と10月に多くのSSLサーバー証明書がChromeとFirefoxで無効化ベリサイン／シマンテック系のSSL/TLSサーバー証明書が、次のスケジュールで無効化されることが、すでに決まっています。 対象のサーバー証明書の発行元： SymantecGeoTrustRapidSSLThawte無効化スケジュール： 2018年3月15日ごろ： Chrome 66のベータ版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年4月17日ごろ： Chrome 66の通常版で、上記発行元が2016年6月1日より前に発行した証明書を信頼しないようになる2018年9月13日ごろ： Chrome 70のベータ版で、上記発行元が発行した証明書すべてを信頼しないようになる2018年10月23日ごろ： Chrome 70通常版で、上記発行元が発行した証明書すべてを信頼

SSLのクライアント証明書を使って接続相手の認証まで行いたいケースで、 クライアント証明書が self signed certificate だと危ないのでは？という疑問を呟いたら @satoh_fumiyasu さんに突っ込んでもらえて、私の誤解を正してもらえました。…誤解したままだったら…と考えると、肝が冷えます。さとうさん、有難うございました。 .oO(…SSLのクライアント証明書って、オレオレにしちゃったら、認証として全く意味が無くなると思うのだけど、違うのかしら？…)— hkoba (@hkoba) 2017年10月4日 違いますね。— ふみやす＠シェルまおう(自称でない)🚲 (@satoh_fumiyasu) 2017年10月5日 むむむ？どんな使い方だと、オレオレなクライアント証明書でも安全になるのでしょう？ サーバーへのログインユーザ名にクライアント証明書の CN を使う

さくらインターネットの「さくらのレンタルサーバ」、 コントロールパネル上の簡単操作で無料SSL証明書「Let’s Encrypt」を設定可能に 〜「Let's Encrypt」のシルバースポンサーとして参画し、常時SSL化推進に貢献〜 インターネットインフラサービスを提供するさくらインターネット株式会社（本社：大阪府大阪市、代表取締役社長：田中 邦裕）の「さくらのレンタルサーバ」※1において、米国の非営利団体ISRG（Internet Security Research Group）が運営する無料のSSLサーバー証明書「Let’s Encrypt」をコントロールパネル上で簡単に設定できる機能を2017年10月17日より提供開始します。また当社は、シルバースポンサーとして「Let’s Encrypt」を支援します。 さまざまな情報が電子化し、個人情報漏えいやフィッシング詐欺などの不正行為被害

「FC2ブログランキング」 こんにちわ！風太郎です。 今皆さんバタバタと行っている ブログのSLL化を行いました。 無料ブログは、SLL化は自動的にされると 思ってたのですが、、、 よく考えれば、SLL化はメリット・デメリットあるし、 URLも全く違うモノとして認識されるので、 勝手に変更されるってことはないですよね、、 ということで、当ブログ「イイモノワルイモノ」は SSL化を行いましたので、それに伴い、 URLが「https://nekoyamafuutarou.blog.fc2.com/」 に変更にしましたのでご連絡いたします（o_ _)ｏ）） SLL化を行ったのは、まだ、数頁のみで、 全頁（常時SSL化）には至っていません。(;´Д｀) これから少しずつ変更していきたいと思います。 せっかく、SLL化をおこなったので、 SLLについて簡単にまとめました。 SLLについて ☆SSLと

お客さま各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 「さくらのSSL」で提供中のシマンテック社およびジオトラスト社の発行する SSLサーバー証明書が、Google Chromeのブラウザにて段階的に無効化されることが確定い たしました。これにより、今後リリースされるGoogle Chromeブラウザにおいて、警告や エラーが表示される可能性がございます。 対象のお客さまには、メールにて証明書の再発行方法をご案内いたします。なお、ご案 内につきましては、2017年12月1日以降を予定しております。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努 めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 ＜記＞ ■シマンテック社SSLサーバー証明書

ホスティング事業部の CTL(Chief Technical Lead)の@pyamaです。本記事では先日盛大にリリースいたしましたロリポップの無料独自SSL機能の裏側について関わったメンバーのリレー形式で紹介したいと思います。 Let's Encrypt提供の背景 ロリポップ！のディレクターをしています@fuchinoです。ロリポップ！のリブランディングプロジェクトやプロモーション、プロダクト周り、イベントなどを担当する、ディレクターという名の何でも屋です。 Let's Encrypt提供の背景について、少し書かせていただきます。 2014年ごろから、急激に独自SSLの需要が増加しました。Googleが常時SSL化への取り組みを強化し、推奨したことが大きな理由です。2016年、Let's Encryptが正式に提供開始されてからは、その流れは一気に加速します。 ロリポップ！では、もともと

Googleは、シマンテック発行のSSL証明証に対し、厳しい処罰を検討しているという。 シマンテックまたはその証明書の再販業者がSSL証明書を不適切に発行したという重大な事件について、Googleは厳しい処罰を検討しています。 提案された計画は、会社にすべての顧客の証明書を置き換え、それを持っているユーザーの拡張された検証（EV）ステータスの認識を停止することです。 シマンテックは、2015年のNetcraft調査によると、ウェブ上で使用される3つのSSL証明書のそれぞれについて約1つを担当し、世界最大の商用証明書の発行者となっています。数年にわたり買収した結果、VeriSign、GeoTrust、Thawte、RapidSSLなどの以前のスタンドアロン認証局のルート証明書を管理しています。 SSL / TLS証明書は、ブラウザとHTTPS対応のWebサイトとの間の接続を暗号化し、ユーザー

シンジです。AWSに新機能「AWS Certificate Manager」が追加されました。SSL証明書がまさかの無料発行！ただしAWSのELBとCloudfrontに限る制限付きだけど！なので、EC2だけ〜とかでは使えませんのでご注意を。とはいえELBを挟むのもCloudfront使うのもありがちな構成なので、さくっとSSL暗号化通信したいときは無料だし便利ですよね。無料でワイルドカード使えるのはかなり便利。 ソースはこちら New – AWS Certificate Manager – Deploy SSL/TLS-Based Apps on AWS | AWS Official Blog https://aws.amazon.com/jp/blogs/aws/new-aws-certificate-manager-deploy-ssltls-based-apps-on-aws/ や

10年間運営されてきた自分の Blog を SSL 対応させるにあたって、その手順や、SSL 化したことで修正をしなければならなくなって大変だった点などを簡単にまとめてみようと思います。 なぜか先週末の夜中に急に思い立って、この Blog のドメイン用に SSL 証明書を購入し、急遽 SSL 対応 （HTTPS でアクセスできるように） してみたわけですが、その手順やら、SSL 化したことでちょっと手直ししないといけなくなって大変だった点などをまとめて見ようと思います。 ちなみに、まだリダイレクトや HSTS （HTTP Strict Transport Security） はドメインに対して有効にしていないので、現状は HTTP / HTTPS どちらでもアクセスできる状態。もうちょっと検証した上で HSTS を有効にして所謂、常時 SSL 化する予定。 10年間以上運営してきた Web

プードル（POODLE）にかみつかれないためのIE対策：その知識、ホントに正しい？ Windowsにまつわる都市伝説（21） 2014年は「Heartbleed」（OpenSSL）、「ShellShock」（GNU bash）、「POODLE」（SSL 3.0）と、Web関連の脆弱性が立て続けに見つかりました。今回は、個人や企業が「Internet Explorer」に対してできるPOODLE対策を紹介します。12月の更新プログラムで問題は解消したと勘違いしていませんか？ 連載目次 IEのPOODLE対策は超簡単、SSL 3.0を「無効」にするだけ 2014年10月に明らかになった「SSL（Secure Sockets Layer）3.0」（SSL v3）の脆弱（ぜいじゃく）性は、広範囲のWebサーバーやWebブラウザー、SSLをサポートするその他のソフトウェアに影響するといわれています。

| 人気ページ | おすすめ記事 | 定番ツール | FacebookやTwitterが見れない･つながらない問題2014年10月～11月(SSL3.0の脆弱性) 2014年10月14日以降、FacebookやTwitterに限らず、https接続でログインにパスワードが必要なサイト全般で発生しています。SSL3.0の脆弱性が原因です。

By Nguyen Hung Vu インターネット上で標準的に利用される暗号通信プロトコルのSSL/TLSを実装したオープンソースのライブラリ「OpenSSL」に、SSL/TLSの暗号化によって保護されている情報が特殊な環境下でなくても盗まれてしまう脆弱性が発覚しました。 Heartbleed Bug http://heartbleed.com/ 「Heartbleed Bug」と名付けられた脆弱性は、OpenSSLの1.0.1から1.0.1fまでのバージョンで発見されたもので、脆弱性が悪用されると、これらのOpenSSLで保護されたシステムのメモリが誰でも閲覧できるようになります。メモリが閲覧されることによって、サービスプロバイダを識別しユーザーのトラフィック・名前・パスワードなどの情報を暗号化する秘密鍵が危険にさらされ、悪意のある攻撃者がサービスやユーザーから直接通信を傍受したり、デー