タグ

SNIに関するn2sのブックマーク (12)

  • 注目の集まるSNI導入の必要性とは

    SSL/TLSの拡張仕様の1つであるSNI(Server Name Indication)に注目が集まっています。 これまでは「1台のサーバ(グローバルIPアドレス)につきSSL証明書は1ドメイン」でしたが、SNIを利用すれば、「1台のサーバで異なる証明書」を使い分けることができるようになります。 それでは、SNIの利用方法やその必要性について確認していきましょう。 SNI(Server Name Indication)とは何だろう? SSL/TLSでは「同じサーバ(同じグローバルIPアドレスを利用する複数のユーザ)は1つのSSLサーバ証明書しか使えない」のが基です。そのため、このままだと不便な場合もあります。 たとえばレンタルサーバサービスを例として考えると、「同じサーバを複数のユーザが利用し、なおかつユーザごとに異なるドメインを利用する」という場合もあるでしょう(名前ベースバーチャル

    注目の集まるSNI導入の必要性とは
    n2s
    n2s 2015/06/28
  • SNIで1台のサーバ上に複数のSSLサイトを運用 – 後編 | さくらのナレッジ

    前回は、SNI(Server Name Indication)の技術的な概要と、その特徴について説明を行いました。 後編である今回は、新たにSNIに対応したさくらのレンタルサーバー スタンダードプランを利用して、実際にSNIを利用した独自ドメインのSSLの設定を行ってみたいと思います。 従来のさくらのレンタルサーバでは、独自SSL(IPアドレスベース)は、ビジネスプロプラン以上でのみ対応しており、1契約で1つのSSLサイトを運用できました。 それが、[今回のSNI SSL対応](http://www.sakura.ad.jp/function/security/original-ssl.html)により、スタンダードプラン1つで複数のSSLサイトを運用できるようになりました。 最安で月額515円から始められサーバプラン料金が抑えられることに加え、1サーバプランで複数のSSLサイトを運用でき

    SNIで1台のサーバ上に複数のSSLサイトを運用 – 後編 | さくらのナレッジ
  • SNIで1台のサーバ上に複数のSSLサイトを運用 – 前編 | さくらのナレッジ

    ご無沙汰しております。細羽です。 昨年、AndroidにおけるSNI対応状況という記事で、SSL/TLSの拡張仕様であるSNI(Server Name Indication)について触れました。 少しニッチなテーマだと思っていましたが、つい先日、さくらのレンタルサーバでSNI SSLを提供開始というプレスリリースが発表されました。広いサービスでSSL/TLS導入への需要が高まっている今、このような事例は今後増えていくものと考えられます。 そこで記事では、重要度が高まっているSNIについて、その技術の概要を改めて理解し、実際の運用に役立てられるように整理をしたいと思います。 知識の整理を目的にした前編と、実践を目的にした後編の2部構成でお届けします。 以下が前編の内容です。 SNIで何が出来るようになるのか SNIで複数ドメインが運用可能になるまで SNIが重要になりつつある背景 SSL運

    SNIで1台のサーバ上に複数のSSLサイトを運用 – 前編 | さくらのナレッジ
    n2s
    n2s 2015/03/05
  • Server Name Indication - Wikipedia

    Server Name Indication(SNI、サーバー ネーム インディケーション、サーバ名表示)は、SSL/TLSの拡張仕様の一つである。SSLハンドシェイク時にクライアントがアクセスしたいホスト名を伝えることで、サーバ側がグローバルIPごとではなくホスト名によって異なる証明書を使い分けることを可能にする。 SNIは特に、HTTP 1.1の名前ベースバーチャルホストをHTTPSに対応させるために使われる。SNIを機能させるには、Webサーバ側とブラウザ側両面の対応が必要である。SNIを実装しないブラウザでは全てのホスト名で同じサーバ証明書が使われるため、警告が表示されることがある。2016年時点でPC・モバイルの主要なブラウザで問題なく利用できる状況である。 SSL/TLS接続のはじめに、クライアントはSSL/TLSのサーバから(サーバとCAの)証明書を受け取り、証明書の改ざんさ

    n2s
    n2s 2014/03/13
  • PostfixのTLS実装ってSNI対応してないのね… - y-kawazの日記

    追記あり、解決したんで最後まで読んでね。 最近いくつかのドメインでSSLサーバ証明書を取ったので折角なのでPostfixにも設定してみようと思ったのが始まりで、改めて TLS_README とかを見ながらマルチホスト名のSSL設定方法を探してみたんだがどうにも見つからないぞ? 通常のTLS利用次に行う smtpd_tls_cert_file や smtpd_tls_key_file の設定項目に対して、smtpd_tls_key_file_mapsやsmtpd_tls_key_file_mapsとかがあるんじゃないかと思ってたんだがどうにも見当たらない。smtp_tls_per_site とかsmtp_tls_policy_mapsとかsmtp_tls_fingerprint_cert_matchとか何かそれっぽい名前の設定項目も見つけたが、どうやらこれらは接続先の証明書の妥当性チェックの

    PostfixのTLS実装ってSNI対応してないのね… - y-kawazの日記
    n2s
    n2s 2014/01/19
    なんと。今はどうなんでしょう / 余談ですがWieste VenemaさんはPostfixの生みの親ですよ / 2015/2/23 追記あり。HAProxy使え、と?
  • SSL証明書取得のススメ

    SSL証明書取得の ススメ NodeでSNI/SANを使う 2012年6月28日 東京Node学園 6時限目 http://goo.gl/mPNOx

    SSL証明書取得のススメ
  • SSL/TLS で Namebase のバーチャルホスト

    このスライドについて 2008 年 7 月 12 日の第 15 回まっちゃ 139 勉強会のライトニングトークで発表した (出来なかった :-p) 資料です. (予想通り? :-p) 内容以上に質問のあったこのスライドで使っているソフトについて. W3C の HTML Slidy で作成しています. 他にも似たようなもっと高機能なツールで S5 とか S6 とかありますね. 使い方 普通のプレゼンソフト的にスペースとか←→キー,マウスクリックでページ遷移します. "F11" で全画面表示します.ただし,Mac OS X では,ブラウザが全画面表示をサポートしてない模様です (Safari, Firefox). "c" でメニューが開きます. "a" でページめくりなしで全ページ表示になります. "s", "b" フォントサイズ変更. 印刷すると,一枚一スライドになるみたいです.今回の資料は

    n2s
    n2s 2011/04/28
    2008/7/12時点 / ワイルドカード証明書、subjectAltName、SNI、Upgrading to TLS / 別ブクマ→id:entry:09292332
  • qmail はオワコン - どさにっき

    2011年2月1日(火) ■ ちょっとトイレットペーパー買い占めてくる _ 一般向けの記事も出てるぐらいなんで別にいまさら書く必要もない気がせんでもないが、自分が後で思い出したくなったときのためにメモ。 _ ipv4 がめでたく売り切れました。厳密にはまだ /8 が5個残ってるけど、これは RIR に自動的に分配される分なので、おばちゃんおかわり、と言ってもごめんねーごはんもうないんだわ、となる。 _ 最後のおかわりは、大方の予想どおり APNIC に2ブロック。この APNIC の在庫も年内には枯渇するはず。ほとんど中国が使っちゃうのかなー。 _ 2003年8月の記事。 RIR exhaustion of the unallocated address pool would occur in 2022. 2003年の時点で、RIR の枯渇が2022年の予想。文中では言及されてないけど、

    n2s
    n2s 2011/02/04
    「足りない v4 を苦しまぎれにやりくりする期間を経てやっと v6 になる」恐ろしいのは、この期に及んで「IPv4だけでスマートに運用し続けられる」と信じている守旧派の皆さんが一定数いることだったり。
  • 仙石浩明の日記: stone に Server Name Indication (TLS 拡張) 機能を実装

    このハンドシェークの後、 クライアントが暗号化された http リクエストを送信し、 それを受けてサーバが暗号化されたレスポンスを返す。 https サーバがバーチャルドメイン機能を持つには、 https サーバがサーバ証明書を送信する (上のハンドシェーク図の 3行目) より前に、 クライアントがリクエストしたいホスト名を通知する必要がある。 上図から明らかなように、 ホスト名の通知は一番最初の「ClientHello」で行なわれなければならず、 そのための拡張が、 「Server Name Indication」というわけである。 もちろんこの時点では、まだ鍵の交換は行なわれていないので、 ホスト名は平文で送られる。 前置きが長くなってしまったが、 この Server Name Indication (SNI) を stone でサポートしてみた (stone.c Revision 2

    n2s
    n2s 2009/10/27
    2007/6/25の記事
  • [Apache-SVN] Revision 776281

    n2s
    n2s 2009/10/27
    「Add server name indication support (RFC 4366) and better support for name based virtual hosts with SSL.」
  • Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan

    Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ

    Apacheの設定を変更し、単一IPアドレス上で複数のSSLサイトを運用する - builder by ZDNet Japan
    n2s
    n2s 2009/10/26
    ほんとだ、Apacheでは最近になって実装されたのか→id:entry:16987937
  • Takayuki Nakamura's blog: 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う

    2007年7月4日 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う #なんだかんだしてたら、半月経ってしまった #来週になったら、ちゃんと再開 『Name-based SSL virtual hosts』 より 名前ベースのVirtualHostでSSLを使う場合、以下の方法をとれば、それぞれのVirtualHostごとの証明書を使うことができます。 ワイルドカード証明書を使うCN=*.example.com という設定の証明書を使えば、www1.example.com と www2.example.com で共通のサーバ証明書を使うことができます。 subjectAltNameを使う 証明書の subjectAltName に別名としてVirtualHostのDNS名を書いておきます。サーバにセットする証明書は1つですが、証明書内の別名をチェックすることで、「証明

    n2s
    n2s 2007/07/04
    なんと。できないものと思っていたのに。/ネックはIE6とOpenSSL(0.9.9で対応とのこと)か… / 消えたのでアーカイブへ→http://web.archive.org/web/20090201202911/websec-memo.blogspot.com/2007/07/virtualhostssl.html
  • 1