【10月19日19:45更新】一部環境における証明書エラーについて
今回の障害に関する詳細につきましては、『10月13日に発生した証明書エラーについてのご報告(続報)』をご覧ください。 平素は弊社サービスをご利用くださいまして、誠にありがとうございます。 弊社の中間CA証明書が誤って一部OSおよびブラウザにより一時的に除外されておりました。 現在復旧をしておりますが、環境によってはキャッシュの影響によりエラーが表示される場合がございます。 ご利用のお客様には多大なるご迷惑をお掛けいたしまして、誠に申し訳ございません。 ■対象 ・クイック認証SSL ・企業認証SSL ・Alpha SSL ・クラウドSSL ■発生時刻 2016年10月13日(木)18:00 16:00頃 ~ 2016年10月13日(木)20:30頃 ※障害発生時刻に誤りがありました。謹んでお詫び申し上げます。 ■影響範囲 中間CA証明書失効エラー ■背景 グローバルサインでは複数のルート証明
ハッシュ衝突でTLSを破るSLOTH攻撃(CVE-2015-7575)とは何か - ぼちぼち日記
0. 簡単なSLOTH攻撃のまとめ 最初に簡単なまとめを書いておきます。長文になりそうなので、読むのが大変な方はここだけ見ておいてください。 MD5ハッシュは既に安全ではなく、証明書の署名方式での利用は停止されていたが、後方互換のためハンドシェイクデータの署名方式にRSA-MD5が今でも利用できるTLS実装が幾つか存在していた(Firefox NSS, Java等)。 先週、INRIAグループからハッシュ衝突を利用して実際にTLSを破る攻撃(SLOTH)が公開された。それを受け、いくつかの実装でRSA-MD5を完全に利用不能にする修正が行われた(CVE-2015-7575)。 SLOTHでは、SHA1やTLS、IKE、SSHに対する攻撃についても評価を行い、幾つかは全く現実的に不可能なレベルではないことが示された。MD5とSHA-1でTLSハンドシェイクの完全性を担保しているTLS1.0/
OpenSSLの脆弱性CVE-2015-0204,0205,0206,CVE-2014-3569,3570,3571,3572,8275まとめ | 俺の技術メモ
OpenSSLに8個の脆弱性が見つかりましたね。 CVE-2015-0204,CVE-2015-0205,CVE-2015-0206,CVE-2014-3569,CVE-2014-3570,CVE-2014-3571,CVE-2014-3572,CVE-2014-8275 と多いです。 やはり対策としては最新版にアップデートするしかないのですが、今回はその脆弱性についての情報です。 脆弱性概要 CVE-2015-0204 RSA silently downgrades to EXPORT_RSA OpenSSLの s3_clnt.c 内の、ssl3_get_key_exchange 関数に問題があり、RSA-to-EXPORT_RSA downgrade攻撃や、ブルートフォース復号で、弱いRSAキーを提供する。 http://web.nvd.nist.gov/view/vuln/detai
細かすぎて伝わらないSSL/TLS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
SSL 3.0の脆弱性「POODLE」はTLSにも影響する | スラド セキュリティ
先日、SSL3.0の脆弱性(通称「POODLE」)が発見されたが、この脆弱性がTLSにも影響する可能性があることが明らかになった(JVNVU#98283300、CNET Japan)。 TLS通信においても、Padding Bytesの検証処理が行われていない実装の場合、この脆弱性の影響を受ける可能性があるとのこと。実際に影響を受けるTLS実装も確認されている模様。
10
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Moving from Skype to Teams PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC games Business Microsof
OpenOpenSSL
the main OpenOpenSSL pageAbout OpenOpenSSL Project Goals Hardware Platforms Daily Changelog Security Crypto Events Papers Press Commercial Support Getting OpenOpenSSL CDs/T-shirts/Posters Getting Releases Installing OpenOpenSSL Getting Source AnonCVS CVSync Web OpenOpenSSL Resources Manuals FAQ Patches Reporting Mailing Lists Application Packages Books that Help Supporting Open
CVE-2014-0160 の OpenSSL の脆弱性対応 - @znz blog
Heartbleed によると今回の OpenSSL の脆弱性は影響が大きそうなので、 OpenSSL の更新をして再起動だけでも早めにした方が良さそうです。 再起動が必要なものは Debian なら debian-goodiesのcheckrestartで再起動が必要なプロセスを調べる のがオススメです。 Ubuntu なら libssl の更新は OS 自体を再起動した方が良いと思います。 秘密鍵を再生成した方が良いという話もあるようですが、 そこまでの対処は続報を待ってからでも良いかもしれません。 mod_spdy にも影響 (mod_spdy について 2014-04-09 に追記) mod_spdy も影響を受けるので、 mod-spdy-beta パッケージの 0.9.4.1-r397 以前を入れている場合は最新版 (2014-04-09 リリースの 0.9.4.2-r413
スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い:Geekなぺーじ
今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。 この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。 インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄
nginx で ssl 設定をする : dogmap.jp
nginx で SSL 設定をするのは、スゴイ簡単です。 サーバ証明書と秘密鍵がすでにあるなら、/etc/nginx/nginx.conf に以下の設定を追加するだけでおっけ。 server { : listen 443 default ssl; ssl on; # サーバ証明書(サーバ証明書に中間CA証明書を連結したもの) ssl_certificate /usr/local/nginx/conf/cert.pem; # 秘密鍵 ssl_certificate_key /usr/local/nginx/conf/cert.key; : } via. HttpSslModule サーバ証明書を持ってなくて、とりあえずオレオレ証明書を作成したい場合は以下のようにして作りましょう。 $ cd /usr/local/nginx/conf $ openssl genrsa -des3 -out s
TLS1.2 における Truncated HMAC 利用時の脆弱性について – IIJ Security Diary
現在ソウルで開催されている ASIACRYPT2011 にて、RFC6066 で規定された拡張機能のひとつである Truncated HMAC を用いた TLS1.2 通信における脆弱性が公開されました。 本脆弱性[1]K.G. Paterson, T.E. Shrimpton and T. Ristenpart, Tag Size Does Matter: Attacks and Proofs for the TLS Record Protocol. http://www.isg.rhul.ac.uk/~kp/mee-comp.pdfは9月に公開された攻撃ツール BEAST と同様、暗号モードとして CBC を利用しているケースにのみ適用可能です。 Truncated HMAC は RFC6066 7章に記載されている方式で、メッセージ認証子 (MAC; データの完全性を保証するために利
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
Google の一部サイトに対して発行された不正な SSL 証明書の問題 | Mozilla Japan ブログ
Mozilla は今日、少なくとも 1 件の不正な SSL 証明書が、Google 社名義の公開サイトに対して発行されていたとの通知を受けました。これは Firefox 固有の問題ではなく、その証明書は発行元の DigiNotar 社によって取り消されました。これによってほとんどのユーザは守られています。 ユーザへの影響信用できないネットワーク上にいるユーザが不正な証明書を使ったサイトへ誘導されて、それが正規のサイトであると誤認するおそれがありました。そのような場合、ユーザは騙されて、ユーザ名やパスワードといった個人情報を入力してしまう可能性がありました。また、信頼できるサイトから提供されたものと思い込んで、マルウェアをダウンロードしてしまう可能性もありました。Mozilla ではこうした証明書が公開サイトで使用されているとの報告を受けています。 状況不正発行の規模が明らかになっていないこ
HTTPSサイトに自動接続するFirefox拡張機能「HTTPS Everywhere」正式版リリース
HTTPS Everywhereをインストールすると、Google検索やTwitter、Facebookなど、対応する1000以上のWebサイトに自動的にHTTPS接続する。 デジタル市民権団体の電子フロンティア財団(EFF)は8月4日(現地時間)、プライバシー保護の非営利団体Tor Projectとともに、Firefox向け拡張機能「HTTPS Everywhere」の公式版(バージョン1.0)を公開したと発表した。HTTPS Everywhereのページからダウンロードできる。 HTTPSは、HTTPでの通信を暗号化することでセキュリティを強化し、盗聴やなりすましを回避する技術。この方法で接続すると、URLの最初の部分が「http」ではなく「https」と表示される。HTTPS Everywhereをインストールすると、対応するWebサイトに接続する場合、自動的にHTTPSで接続する。
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID(UID)を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります(仕様)がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
2009/08/26追記 - セキュリティホール memo
》 Skypeを盗聴するトロイの木馬のソースコードが出回る (ZDNet, 8/31)。Skype trojan sourcecode available for download. (megapanzer.com, 8/25)。PoC コード。 The code is not 100% complete. I removed the plugin system in the backdor and also the firewall bypassing system is not there anymore. I will publish both of them in separate tools later. If you don’t like this … well, I can’t help you. Thats how it is. Take it or leave it. 》
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事 | 海外&国内SEO情報ウォッチ | Web担当者Forum
Engadget | Technology News & Reviews