SSL証明書が「信頼されない」とHTTPSサイト表示時にエラーが生じる 最初に「SSL証明書が信頼されない」とはどういうことか説明しよう。 Chromeに限らずWebブラウザは、HTTPSのWebサイトに接続する際、SSL証明書が正当なものかどうか検証する。もし有効期限や共通名（コモンネーム）、発行元（認証局）などに何かしら異常が見つかった場合、アドレスバー左端のアイコンやブラウザペインにその旨のエラーを表示してエンドユーザーに知らせる。 この状態ではHTTPSによる暗号化は信頼できず、通信中に盗聴や改ざん、なりすましの被害を受ける危険がある。 つまり、近い将来、Symantecの認証局から発行されたSSL証明書を組み込んであるWebサイトに対し、Chromeで閲覧したエンドユーザーにはこうしたエラーが表示されるようになる、ということだ。Webサイト運営・管理側としては何としても避けるべき

VeriSignやGeoTrust、RapidSSLなどSymatec傘下の認証局が発行した証明書は、Chrome 66から段階的に無効化される。 米Googleは3月7日、同社が「信頼できない」と判断したSymantec傘下の認証局の証明書について、WebブラウザのChrome 66から段階的に失効させる措置について改めて説明した。失効対象の証明書をまだ使っているWebサイトでは、できるだけ早く対応するよう促している。 失効の対象となるのは、Symantec傘下の認証局（CA）のThawte、VeriSign、Equifax、GeoTrust、RapidSSLなどが発行したSSL/TLS証明書。こうした証明書の入れ替えを行っていないWebサイトは、Chromeを含む主要ブラウザの更新版で、エラー警告が表示されるようになる。 2016年6月1日より前に発行された証明書については、Chrom

Googleの「Chrome」チームは、Symantecが発行しているTransport Layer Security（TLS）証明書に対する信頼度を弱めることを提案した。この措置は段階的に行い、2018年初めには、Symantecとその傘下の認証局が発行する証明書のうち、「Google Chrome 64」で信頼されるのは有効期限が279日以内の証明書のみにするというものだ。 GoogleのエンジニアであるRyan Sleevi氏は、「Blink」開発チームのメーリングリストへの投稿の中で、Symantecによる「数々の不具合」を受けて、Googleはユーザーが重大なリスクに直面すると考えていると述べた。 Sleevi氏は次のように指摘している。「この調査を通じて、『Google Chrome』チームのメンバーが問い合わせるたびに、Symantecが説明する不正発行の規模は大きくなってい

Anterior, a company that uses AI to expedite health insurance approval for medical procedures, has raised a $20 million Series A round at a $95 million post-money valuation led by…

Steven J. Vaughan-Nichols （Special to ZDNET.com） 翻訳校正： 編集部 2015-03-04 16:45 1990年代の初めには名案のように感じられたのかもしれない。Secure-Socket Layer（SSL）という暗号化技術が産声を上げた当時、米国家安全保障局（NSA）は外国でやり取りされる「セキュア」なウェブトラフィックの内容を確実に傍受したいと考えていた。このためNSAは「Netscape Navigator」のインターナショナル版には40ビット暗号を使用し、より安全な128ビット暗号は米国版でのみ使用するようNetscapeを説き伏せた。その後、2000年1月に暗号輸出管理規則が改正され、どのようなブラウザでもよりセキュアなSSLを使用できるようになった。しかし、旧来のセキュアでないコードは、15年が経過した今でも使用されており、わ

最近、急速に「常時SSL（HTTPS）化＝常時暗号化」が広がっている。WebサイトとWebブラウザー間の通信を常時暗号化することで通信の安全性を高めようというものだ。 通信の盗聴を防げる一方で、SSLを駆使した巧妙なサイバー攻撃の“隠れみの”に悪用されるリスクがある。企業などの情報システム部門にとってはこれまでとは異なるセキュリティ対策を迫られる。 常時SSLとは、通信を常時暗号化することを指す。ログインを伴う多くのWebサイトでは、部分的にSSLを採用している。例えばITproの場合、記事閲覧時の通信トラフィックは平文（非SSL、HTTP）で流れる（写真1）。

Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな～ と思って書いてみた、恒例の （？） 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL

HTTPS(SSL利用)サイトがSEO的に優遇されるトレンドで、世間的にもHTTPS接続でサイト運用するサービスが増えてきています。 これが、ハイトラフィックサイトになってくると、このフロントエンドでSSL処理させることが負荷的にもなかなか辛いのです。 で、Apache 2.3以降では、Shared Object Cache Providerとして、memcachedが選択できるようになっています。 この仕組みを利用して、Apacheとmemcachedを並べることで、各サーバでユーザのSSL Session Cacheを共有しながらHTTPSリクエストを負荷分散できる構成を作ってみました。 WebサーバでSSLオフロード 常時SSLを利用したWebサイトを運用するために、SSLアクセラレータといったアプライアンス製品だとか、ソフトウェアだとApacheやNginxのSSLモジュールを使う

Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...

2014年はサーバでサポートされる技術のセキュリティ問題がいくつも発覚しているが、その最新のものが、SSL 3.0の深刻な脆弱性「POODLE」だ。POODLE（または「CVE-2014-3556」として表される）は「Padding Oracle On Downgraded Legacy Encryption」の頭字語で、この脆弱性を公表したGoogleの研究者のBodo Möller氏とThai Duong氏、およびKrzysztof Kotowicz氏によって命名された。「POODLE」が発見されたことを受けて、システムオペレーターはサーバ側でSSL 3.0のサポートを停止しており、古くなった同プロトコルだけをサポートするシステムは切り捨てられようとしている。 POODLEはブラウザが暗号化を処理する仕組みに存在する脆弱性だ。攻撃者はSSL 3.0による通信を行うように仕向けることで、

Environment Red Hat Enterprise Linux 5, 6, 7 Red Hat JBoss Enterprise Application Platform (EAP) 5, 6 JBoss Enterprise Web Server (EWS) 1, 2 Inktank Ceph Enterprise (ICE) 1 Red Hat Storage Console Red Hat Enterprise Virtualization Issue How do I avoid impact to httpd from CVE-2014-3566? How do I disable SSL 3.0 in httpd (using mod_ssl or mod_nss)? To avoid this vulnerability, Red Hat recommends di

SSL 3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。サーバ、クライアント間の通信において、SSL 3.0 を使用している場合、通信の一部が第三者に漏えいする可能性があります。 ただし、攻撃には複数の条件が必要で、例えば、中間者攻撃や、攻撃対象に大量の通信を発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性ではありません。 サーバ管理者および利用者は対策の要否を検討し、必要に応じて後述の対策を実施してください。 図：脆弱性を悪用した攻撃のイメージ サーバもしくはクライアントのどちらか一方で、SSL 3.0 を無効化することで対策できます。 なお、SSL 3.0 を無効化することで次の影響を受ける可能性があります。 サーバ側で SSL 3.0 を無効にした場合 一部のクライアントから接続ができなくなる可能性があります。 クライアント側で S

Googleのセキュリティチームは米国時間10月14日、Secure Sockets Layer（SSL） 3.0に深刻なセキュリティ脆弱性があることを明らかにした。SSL 3.0はかなり前に導入された暗号化プロトコルでありながら、依然として多く使用されている。 同チームのBodo Möller氏によると、「この脆弱性により、セキュアな接続のプレーンテキストがネットワーク攻撃者によって割り出される恐れがある」という。 SSL 3.0はTLS 1.0、TLS 1.1、TLS 1.2に引き継がれてきたが、TLS実装の多くがレガシーシステムに対応し、ユーザーエクスペリエンスを円滑化するために、SSL 3.0との下位互換性を維持している。 通常、このセキュリティプロトコルのハンドシェークは、認証されたバージョンのネゴシエーションを行う。このようにして、クライアントとサーバの両方に共通する最新のプロ

[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 （随時更新） Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見

対策を済ませたはずのWebサイトの中に、盗まれたかもしれない秘密鍵を変更せずに新しい証明書に使っているWebサイトがあることが分かった。 オープンソースのSSL／TLS暗号化ライブラリ「OpenSSL」に重大な脆弱性が見つかってから1カ月。影響を受けるWebサイトが対応に追われる中で、SSL証明書を入れ替えて古い証明書を失効させておきながら、秘密鍵を変更せずに新しい証明書にも使ってしまうという「致命的なミス」を犯しているWebサイトがあることが分かったと、セキュリティ企業の英Netcraftが5月9日のブログで報告した。 「Heartbleed」と呼ばれる今回の脆弱性では、SSL暗号化通信に利用している秘密鍵やユーザーの情報など、重大な情報が流出する恐れがある。しかも攻撃を受けたとしても、痕跡は残りにくいという。 Netcraftによると、この脆弱性の影響を受けたWebサイトのうち、証明書

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ