OWASP APAC 2014 Tokyo Japan
The Art and Science of SSL Configuration
OWASP APAC 2014 Tokyo Japan
Heart Bleedã‚’èªã‚“ã - The first cry of Atom
int dtls1_process_heartbeat(SSL *s) { unsigned char *p = &s->s3->rrec.data[0], *pl; unsigned short hbtype; unsigned int payload; unsigned int padding = 16; /* Use minimum padding */ heartbeatã¨ã„ã†æ©Ÿèƒ½ã®è©³ã—ã„ã“ã¨ã¯èª¿ã¹ã‚‰ã‚Œã¦ã„ãªã„ã‘ã‚Œã©ã©ã†ã‚„らクライアントーサーãƒåž‹ã®æ©Ÿèƒ½ã‚’æä¾›ã™ã‚‹ã‚‚ã®ã‚‰ã—ã„。 ã¤ã¾ã‚Šä½•ã‚‰ã‹ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’å—ã‘å–ã£ã¦ãƒ¬ã‚¹ãƒãƒ³ã‚¹ã‚’è¿”ã™ã‚ˆã†ãªã‚µãƒ¼ãƒ“スをæä¾›ã™ã‚‹ã‚‚ã®ã‚‰ã—ã„。dtls1_process_heartbeatã§å¤§äº‹ãªã®ã¯ ãƒã‚¤ãƒ³ã‚¿pã 。ã“ã‚Œã¯ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ‡ãƒ¼ã‚¿ã‚’å—ã‘å–ã£ã¦æ ¼ç´ã—ã¦ã„る。ã“ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ‡ãƒ¼ã‚¿ã¯æ§‹é€ 体ã«ãªã£ã¦ã„ã¦ã€ä»¥ä¸‹ã®ã‚ˆã†ã«è¨˜è¿°ã•ã‚Œã¦ã„る。 typedef struct
irc, ircd-hybridã§ãƒ‘スワードèªè¨¼ã¨SSL接続
ã‚‚ã®ã™ã”ãæ€ã„ã¤ãã§ã‚„ã‚Šã¾ã—ãŸã€‚ パスワードèªè¨¼ã®SSL利用ã§ç«‹ã¡ä¸Šã’ãŸã„ã¨æ€ã„ã¾ã™ã€‚ yum install ircd-hybrid ## 変更箇所ã ã‘ cp /usr/share/doc/ircd-hybrid-7.2.3/simple.conf /etc/ircd/ircd.conf vi /etc/ircd/ircd.conf serverinfo { name = "irc.runeleaf.net"; # [0-9][A-Z0-9][A-Z0-9] sid = "101"; description = "IRC Server"; rsa_private_key_file = "/etc/secure/ircd/rsa.key"; ssl_certificate_file = "/etc/secure/ircd/cert.pem"; } administrator { name
nginx ã«ä¸é–“証明書をインストールã™ã‚‹æ–¹æ³•ï½œSSLサーãƒè¨¼æ˜Žæ›¸ãªã‚‰ã‚°ãƒãƒ¼ãƒãƒ«ã‚µã‚¤ãƒ³ (æ—§æ—¥æœ¬ã‚¸ã‚ªãƒˆãƒ©ã‚¹ãƒˆæ ªå¼ä¼šç¤¾)
nginxã«ã¯ã€ä¸é–“証明書を直接指定ã™ã‚‹ãƒ‡ã‚£ãƒ¬ã‚¯ãƒ†ã‚£ãƒ–ãŒç”¨æ„ã•ã‚Œã¦ã„ãªã„ãŸã‚ã€ã‚µãƒ¼ãƒè¨¼æ˜Žæ›¸ã¨ä¸é–“証明書をçµåˆã—ãŸã‚‚ã®ã‚’「ssl_certificateã€ã§æŒ‡å®šã—ã¾ã™ã€‚ ファイルçµåˆã‚³ãƒžãƒ³ãƒ‰ä¾‹ # cat server.cer cacert.cer > cert.pem çµåˆã—ãŸè¨¼æ˜Žæ›¸ãƒ•ã‚¡ã‚¤ãƒ«ã¯ã€ä¸‹è¨˜ã®ã‚ˆã†ãªæ§‹æˆã«ãªã‚Šã¾ã™ã€‚ -----BEGIN CERTIFICATE----- [サーãƒè¨¼æ˜Žæ›¸] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [ä¸é–“証明書] -----END CERTIFICATE-----
SSL証明書を更新ã™ã‚‹ã¨ãã«ãƒã‚§ãƒƒã‚¯ã«å½¹ç«‹ã¤ã‚³ãƒžãƒ³ãƒ‰ã¾ã¨ã‚ | ウェブインパクトエンジニア IT番長ブãƒã‚°
ã™ã£ã‹ã‚Šç§‹ã‚ã„ã¦ãã¦ã€ã”飯ãŒç¾Žå‘³ã—ã„å£ç¯€ã«ãªã‚Šã¾ã—ãŸãã€shige ã§ã”ã–ã„ã¾ã™ã€‚ ã•ã¦ã€ä»Šå›žã¯SSL証明書を更新ã™ã‚‹ã¨ãã«ãƒã‚§ãƒƒã‚¯ã«å½¹ç«‹ã¤ã‚³ãƒžãƒ³ãƒ‰ã‚’ã¾ã¨ã‚ã¦ã¿ã¾ã—ãŸã€‚ ã“ã®æ‰‹é †ã«æ²¿ã£ã¦ã€ã‚µãƒ¼ãƒãƒ¼ã«æ–°ã—ã„SSL証明書を置ãæ›ãˆã‚Œã°ã€ãã£ã¨è¨¼æ˜Žæ›¸ã¨ç§˜å¯†éµã®ä¸æ•´åˆã§ Apache ãŒèµ·å‹•ã—ãªã„ãªã‚“ã¦ãƒˆãƒ©ãƒ–ルも逃れられるã¯ãšï¼ 1. 秘密éµã¨CSRã®ä½œæˆ ã¾ãšã€ãŠé¦´æŸ“ã¿ã® openssl コマンドã§ã‚µã‚¯ãƒƒã¨ç§˜å¯†éµã¨CSRを作æˆã—ã¾ã™ã€‚ $ openssl req -new -newkey rsa:2048 -nodes -keyout www.webimpact.co.jp.key -out www.webimpact.co.jp.csr 2. èªè¨¼å±€ã¸æ出 次ã«ã€ã„ã¤ã‚‚ãŠä¸–話ã«ãªã£ã¦ã„ã‚‹èªè¨¼å±€ã«CSRã‚’æ出ã—ã¾ã—ょã†ã€‚ 3. サーãƒãƒ¼ã«è¨¼æ˜Žæ›¸ã¨ç§˜å¯†éµã‚’è¨ç½® èªè¨¼å±€ã‹ã‚‰è¨¼æ˜Žæ›¸ã‚’発行ã—ã¦ã‚‚らãˆãŸã‚‰
ã€Important】Shipped Furl 2.00ã€é‡è¦ã€‘ã€è¦ç¢ºèªã€‘ã€ã”確èªãã ã•ã„】 - tokuhirom's blog
I released Furl 2.00. It contains very important and incompatible change. Furl now verify every SSL certifications by default. If your application communicates server, is using unverified SSL certs, this version breaks your application. If you want to back older behavior, you need to specify `ssl_opts` option. -Furl ㌠2.00 ã§ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§ SSL 証明書をãã³ã—ããƒã‚§ãƒƒã‚¯ã™ã‚‹ã‚ˆã†ã«ãªã‚Šã¾ã—ãŸã€‚ãã—ã¦ã“ã®æŒ™å‹•ãŒãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã¨ãªã‚Šã¾ã—ãŸã€‚オレオレ証明書をã¤ã‹ã£ã¦ã„ã‚‹å ´åˆã«ã¯é€šä¿¡
ãªãœã‚ãªãŸãŒã‚¦ã‚§ãƒ–サイトをHTTPS化ã™ã‚‹ã¨ã‚µã‚¤ãƒˆãŒé…ããªã£ã¦ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒé€ƒã’ã¦ã„ãã®ã‹ - å°„æ’ƒã—ã¤ã¤å‰è»¢ 改
完全ã«é‡£ã‚Šã‚¿ã‚¤ãƒˆãƒ«ã§ã™ã‘ã©ä¸èº«ã¯çœŸé¢ç›®ã«æ›¸ãよ。 è¿‘å¹´ã€ã‚¦ã‚§ãƒ–サイトã®HTTPS化ãŒæµè¡Œã®ã‚ˆã†ã«ãªã£ã¦ã„る。ç§ã®çŸ¥ã‚‹é™ã‚Šã€Googleã®å„種サービスやTwitterã€Facebookãªã©ãŒå®Œå…¨ã«HTTPSã§é€šä¿¡ã‚’è¡Œã†ã‚ˆã†ã«ãªã£ã¦ã„る。HTTPSã€ã¤ã¾ã‚ŠSSLã«ã‚ˆã‚‹é€šä¿¡ã®æš—å·åŒ–ã«ã‚ˆã£ã¦ã€ãƒ¦ãƒ¼ã‚¶ã«ã“ã‚Œã¾ã§ã‚ˆã‚Šã‚‚安全ãªã‚¦ã‚§ãƒ–サイトをæä¾›ã§ãる。 ã—ã‹ã—ã€ã‚ãªãŸãŒä½œã£ã¦ã„るサイトをãµã¨æ€ã„ã¤ãã§HTTPS化ã—ã¦ã—ã¾ã†ã¨ã€ãŸã¶ã‚“ã€ã“ã‚Œã¾ã§ã‚ˆã‚Šã‚‚サイトãŒé…ããªã‚‹ã€‚ã“ã“ã§ã¯ã€HTTPSã§é€šä¿¡ã™ã‚‹å ´åˆã®å•é¡Œã‚’解説ã™ã‚‹ã€‚ ãªãœé…ããªã‚‹ã®ã‹ HTTPã§é€šä¿¡ã™ã‚‹å ´åˆã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãŒã‚µãƒ¼ãƒã¸ã¨æŽ¥ç¶šã™ã‚‹ãŸã‚ã«ã¯TCP/IPã®3ウェイãƒãƒ³ãƒ‰ã‚·ã‚§ã‚¤ã‚¯ã¨ã„ã†æ‰‹é †ãŒå¿…è¦ã«ãªã‚‹ã€‚ã‚ã‚“ã©ãã•ã„ã®ã§ã“ã“ã§ã¯è©³ã—ãã¯èª¬æ˜Žã—ãªã„ãŒã€è¦ã™ã‚‹ã«ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãŒãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’投ã’ã‚‹å‰ã«ãƒ‘ケットを1往復ã•ã›ãªã„ã¨ã„ã‘ãªã„ã®ã§ã‚る。パケットã®å¾€å¾©
仙石浩明ã®æ—¥è¨˜: stone ã« Server Name Indication (TLS æ‹¡å¼µ) 機能を実装
ã“ã®ãƒãƒ³ãƒ‰ã‚·ã‚§ãƒ¼ã‚¯ã®å¾Œã€ クライアントãŒæš—å·åŒ–ã•ã‚ŒãŸ http リクエストをé€ä¿¡ã—〠ãれをå—ã‘ã¦ã‚µãƒ¼ãƒãŒæš—å·åŒ–ã•ã‚ŒãŸãƒ¬ã‚¹ãƒãƒ³ã‚¹ã‚’è¿”ã™ã€‚ https サーãƒãŒãƒãƒ¼ãƒãƒ£ãƒ«ãƒ‰ãƒ¡ã‚¤ãƒ³æ©Ÿèƒ½ã‚’æŒã¤ã«ã¯ã€ https サーãƒãŒã‚µãƒ¼ãƒè¨¼æ˜Žæ›¸ã‚’é€ä¿¡ã™ã‚‹ (上ã®ãƒãƒ³ãƒ‰ã‚·ã‚§ãƒ¼ã‚¯å›³ã® 3行目) よりå‰ã«ã€ クライアントãŒãƒªã‚¯ã‚¨ã‚¹ãƒˆã—ãŸã„ホストåを通知ã™ã‚‹å¿…è¦ãŒã‚る。 上図ã‹ã‚‰æ˜Žã‚‰ã‹ãªã‚ˆã†ã«ã€ ホストåã®é€šçŸ¥ã¯ä¸€ç•ªæœ€åˆã®ã€ŒClientHelloã€ã§è¡Œãªã‚ã‚Œãªã‘ã‚Œã°ãªã‚‰ãšã€ ãã®ãŸã‚ã®æ‹¡å¼µãŒã€ 「Server Name Indicationã€ã¨ã„ã†ã‚ã‘ã§ã‚る。 ã‚‚ã¡ã‚ã‚“ã“ã®æ™‚点ã§ã¯ã€ã¾ã éµã®äº¤æ›ã¯è¡Œãªã‚ã‚Œã¦ã„ãªã„ã®ã§ã€ ホストåã¯å¹³æ–‡ã§é€ã‚‰ã‚Œã‚‹ã€‚ å‰ç½®ããŒé•·ããªã£ã¦ã—ã¾ã£ãŸãŒã€ ã“ã® Server Name Indication (SNI) ã‚’ stone ã§ã‚µãƒãƒ¼ãƒˆã—ã¦ã¿ãŸ (stone.c Revision 2
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
httpsã ã‹ã‚‰ã¨ã„ã†ã ã‘ã§å®‰å…¨ï¼Ÿèª¿ã¹ãŸã‚‰æ€–ããªã£ã¦ããŸSSLã®è©±!? - Qiita
日本ベリサイン - Enterprise & Internet Security Solutions
{{#tags}}- {{label}}
{{/tags}}