I'm having problems using openssl to create a x509 certificate containing a crl distribution point for testing. I've checked the documentation and found the configuration setting crlDistributionPoints for this purpose. Unfortunately openssl always generates x509 version 1 certificates without instead of version 3 certificates with the crl distribution point. I'm sure something is wrong with my com
1. Using the x509 module openssl x509 ... ... 2 Using the ca module openssl ca ... ... You are missing the prelude to those commands. This is a two-step process. First you set up your CA, and then you sign an end entity certificate (a.k.a server or user). Both of the two commands elide the two steps into one. And both assume you have a an OpenSSL configuration file already setup for both CAs and S
Chapter 1: Getting Started Getting Started Key and Certificate Management Server Configuration Creating a Private Certification Authority from Scratch Chapter 2: Testing with OpenSSL Sixteen sections cover testing of various aspects of TLS server configuration For all its warts, OpenSSL is one of the most successful and most important open source projects. It’s successful because it’s so widely us
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
You are here: Home / StrongBlog / Community / Are Node and io.js affected by the “FREAK Attack” OpenSSL vulnerab... Recently a security vulnerability, dubbed “FREAK Attack” was reported that affects certain versions of OpenSSL, the popular open source encryption library which is used in many server products such as Apache. Specifically, the ssl3_get_key_exchange function in s3_clnt.c in OpenSSL be
On Tuesday, March 3, 2015, researchers announced a new SSL/TLS vulnerability called the FREAK attack. It allows an attacker to intercept HTTPS connections between vulnerable clients and servers and force them to use weakened encryption, which the attacker can break to steal or manipulate sensitive data. This site is dedicated to tracking the impact of the attack and helping users test whether they
opensslとRSA暗号についてちょっと調べてみようかな、と思った。 まずRSA暗号とは、 公開鍵暗号方式の実装のひとつである 2つの素数の積(ケタ数が大きい場合の素因数分解の困難さ)を利用している ってことを理屈としては理解しているけど、実際にopensslコマンドで作った鍵ファイルの中身がどうなっているのか? ということまで踏み込んだことが無かった。 というわけで、ちょっとその辺をコマンド叩きながら遊んでみることにする。 はじめに:opensslの操作について opensslコマンドは増築に増築を重ねすぎており、もはやそびえ立つ××のようである。ヤヴァいことになったレベルで機能てんこ盛りのコマンドなので、サブコマンドとして機能名を指定して使うことになる。 openssl command [ command_opts ] [ command_args ]上例の「command」には、R
Lavabit事件 Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情報を提供したあと、現在はロシアに一時亡命しているが、亡命が認められる前にモスクワ空港にしばらく滞在していたことがある。7月12日に空港内でプレスカンファレンスを行ったのだが、その時複数の人権団体に送った招待状が “edsnowden@lavabit.com” というメールアドレスからだった。この事が報道されると、「あの」Snowden氏が使っているメールサービスということで、利用希望者が殺到したらしい。(それまで新規登録は 200人/日だったのが、4,000人/日と20倍になった。) しかしそんな表の騒動の影で、
Once the private key of some HTTPS web site is compromised, an attacker is able to build a man-in-the-middle attack to intercept and decrypt any communication with the web site. The first step against such an attack is the revocation of the associated certificate through a CRL or a protocol like OCSP. Unfortunately, the attacker could also have recorded past communications protected by this privat
影響を受けたウェブサイトやソフトウェアの対応については、piyologさんの以下の記事に詳しいです。 オンライサービスや製品のHeartBleed(CVE-2014-0160)の影響についてまとめてみた OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた この記事では、それ以外の動きについてまとめていきます。先週の2つの記事と違い、あくまで個人的興味によるものです。 日本政府およびセキュリティ関連組織による情報公開 JPCERT/CC 2014-04-08 JPCERT-AT-2014-0013 OpenSSL の脆弱性に関する注意喚起 IPA 2014-04-08 OpenSSL の脆弱性対策について(CVE-2014-0160) 2014-04-16 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について 総務省 2014-04-15
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
マイクロソフト社より、2月12日 にセキュリティ更新プログラムの情報が公開されました。 今回公開されたプログラムではセキュリティ面での深刻度「緊急」のものが6件含まれています。 企業・組織に対するサイバー攻撃のリスクは深刻化しており、業種や事業規模を問わず、経営上の大きな課題となっている。こうしたセキュリティ脅威への対策として、EDR/XDRの導入が進んではいるが、実際の運用面での課題は多い。本記事では、組織の規模に関係なく被害が拡大している背景をはじめ、その対策としてEDR/XDRが有効である理由や導入における課題、そして、マネージドサービス付きXDRソリューションの1つである「ESET PROTECT MDR Lite」の特長や導入メリットについて、キヤノンマーケティングジャパン株式会社の谷口 治が解説する。
1. はじめに、 昨日 OpenSSLのバージョンアップがアナウンスされ、9つの脆弱性が公開されました。バージョンアップの数日前にOpenSSLの次期リリース予告がアナウンスされていましたが、ちょうど BlackHat 開催初日にあたることもあり、なんかまた重大な脆弱性の修正が入るんじゃないかとドキドキしていました。蓋を開けてみるとHeatBleed程の大事ではなくホットひと安心です。 昨日公開されたOpenSSLの9つの脆弱性のうち、TLS プロトコルダウングレード攻撃 (CVE-2014-3511)の修正を見ていたところ、これはTLSプロトコルを学ぶいい題材になるなぁとふと思いつき、試しにこのOpensslの脆弱性の詳細をTLSプロトコルの基礎に合わせて書いてみました。 ちょっと長いですが、TLSプロトコルの仕組み(の一部)を知りたい方はお読みください。 2. OpenSSLの脆弱性
How can I generate SHA1 or SHA2 hashes using the OpenSSL libarary? I searched google and could not find any function or example code.
6月上旬に発覚したオープンソースのSSL/TLS実装ライブラリ「OpenSSL」の脆弱性について、いまだに脆弱性が修正されていない大手サイトが相当数存在するという調査結果をセキュリティ企業Qualysが公表した。 OpenSSLプロジェクトは6月5日にセキュリティ情報を公開して6件の脆弱性を修正した。中でも「SSL/TLSの中間者攻撃の脆弱性」(CVE-2014-0224)では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れが指摘されていた。 Qualysによれば、ほとんどのWebブラウザはOpenSSLに依存しておらず、ブラウザのユーザーの大半はこの問題の影響を受けないという。ただしAndroidブラウザはOpenSSLを使っているほか、コマンドラインなどのプログラミングツールはOpenSSLを使っているものが多く、特にOpenVPNのようなVPN製品は標
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く