背景 CABF とは、パブリックなサーバー証明書、 S/MIME 証明書、コードサイニング証明書などの電子証明書を発行する機関(認証局: Certificate Authority 以下、CA )と、ブラウザーを提供する Google、Apple、Microsoft、Mozilla などの主要ブラウザーベンダーで構成される標準化団体です。 サーバー証明書の最大有効期間が短縮される最大の理由は、証明書そのものの信頼性向上です。証明書に含まれる情報は認証局が審査を実施した時点で確認された情報です。しかし、その後、実際のドメイン名の登録者や組織の情報などが変更になる可能性があります。そのため、証明書は発行から時間が経過するほど、含まれる情報が変更されている可能性が高まり、その信頼性が低下していきます。最大有効期間を短縮することで、誤った情報を含む証明書が存在するリスクを低減できます。 また、イン
2025年8月1日に開催された、JANOG56 Meeting 野良LT BoFの発表資料です。
Robert Merget (TII), Nurullah Erinola (RUB), Marcel Maehren (RUB), Lukas Knittel (RUB), Sven Hebrok (UPB), Marcus Brinkmann (RUB), Juraj Somorovsky (UPB), Jörg Schwenk (RUB) What is Opossum? Opossum is a cross-protocol application layer desynchronization attack that affects TLS-based application protocols that rely on both opportunistic and implicit TLS. Among the affected protocols are HTTP, FTP,
【デジカルチーム ブログリレー6日目】デジカルチームの末永です。5月31日から開催される技術書典18で頒布するエムスリーテックブック8の、フルスクラッチして理解するSSL/TLSという章を担当しました。この章では、標準ライブラリ縛りでTLS 1.3のサーバーサイドを実装していきます。 techbookfest.org ここでは執筆の流れや小話などの裏側を書いていきます。 社内有志のメンバーによる新刊も頒布するようです 絶賛執筆中!以下のページからサークルをフォローして続報をお待ちください…! #技術書典https://t.co/2W8FuGOJfM— エムスリー エンジニア公式 (@m3_engineering) 2025年5月13日 フルスクラッチして理解するSSL/TLS 執筆スケジュール いちばん大変だったポイント 実装・執筆小話 「長すぎる」問題 実際どれくらいAI使った? フルス
Cybersecurity Newsは4月14日(現地時間)、「SSL Certificate Validity Reduced to 47 Days After Apple Proposal」において、SSL/TLS証明書の最大有効期間が47日に短縮されると報じた。 SSL/TLS証明書の最大有効期間は改訂を繰り返し徐々に短くなっている。現在の最大有効期間は398日だが、Appleが漏洩した場合の影響を軽減するためとして47日への短縮を提案(SC-081v3)し、関係機関およびコンシューマーの賛成多数で承認されたことがわかった。 SSL Certificate Validity Reduced to 47 Days After Apple Proposal 提案(SC-081v3)の概要と投票結果 Appleが提出した動議の内容や、投票の詳細は「Voting Period Begins:
「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」の公表について 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会(座長:寺井 理 株式会社みずほフィナンシャルグループ グループ執行役員・情報セキュリティ担当(グループ CISO)、金融 ISAC FinTech セキュリティワーキンググループ座長)においては、PQCへの移行を検討する際の推奨事項、課題及び留意事項について、令和6年7月から10月にかけて関係者と幅広く議論を行いました。 今般、同報告書がとりまとまりましたので、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」(別紙)を公表します。 (別紙) 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書(PDF:2.6MB) 関連リンク 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会 お問い合わせ先 金融庁 Tel 03-3
はじめに カミナシでID管理・認証基盤を開発しているmanaty(@manaty0226)です。 カミナシではAmazon Web Services(AWS)上で認証基盤を構築して動かしています。特にOpenID Providerのコア機能含めて内製しており、さまざまなOAuth拡張仕様を駆使してお客様の要求やプロダクト機能の実現に寄与しています。今回は、相互TLS(mTLS: mutual Transport Layer Security)と呼ばれる、クライアントとサーバーがともに証明書を提示して安全に接続する技術に立脚したRFC 8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens(以下、OAuth mTLSと呼びます)を実現するために検討した内容を書きます。 仕様自体の話
こんにちは。クラウド基盤本部の野島です。 今年のインターンシップでは、プラットフォーム(自社基盤)コースとして2名の方を受け入れ、それぞれ異なる課題をやってもらいました。 そのうちの一つは Pingora に関する課題で、覚道さんに取り組んでいただきました。(もう一つの課題は nginx のキャッシュの性能に関するもので、これについては昨日の記事をご参照ください) Pingora は Cloudflare が開発したロードバランサのためのフレームワークであり、Rust を使って好きなロジックを組み込んだロードバランサを書くことができます。 今回のインターンでは Pingora を使って TLS のクライアント証明書を使った認証プロキシを作ってもらいました。 そこで、この開発の中で得られた Pingora や OpenSSL に関する知見を共有しようと思います。 この記事は覚道さんのインター
はじめに 2023年12月に「cURLの"--cacert"オプション利用時の挙動がmacOSとLinuxで異なる」という内容のissueが立ち、2024年3月にcURLの開発者であるDaniel Stenberg氏が「THE APPLE CURL SECURITY INCIDENT 12604」というタイトルで記事を公開しました。 この記事では本件に関する詳細の説明と検証、また独自の掘り下げを行い、macOS版cURLとオリジナルのcURLの違いについて解説します。ただし、本件は明らかになっていない部分が多くあるため、本記事には推測や仮説が含まれます。ご了承ください。 --cacertオプションにおけるmacOSのcURLとオリジナルのcURLの違い まずはDaniel Stenberg氏の記事で述べられた内容を元に、"--cacert"オプションにおけるmacOS版cURLとオリジナル
TL;DR Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です 実質 MitM をさせる Proxy を作るための話になります TL;DR はじめに 環境構築 0. 事前準備 1. 通信先情報の取得 ドメイン(ホスト名) IPアドレス 2. 自己署名証明書の作成 3. Proxy Listener への組み込み 4. テスト おわりに はじめに マルウェア解析の動的解析環境(Sandbox 環境)を構築する際、TLS/SSL を用いた HTTPS 通信をどのようにして取得して分析可能とするかというのは一つの至上命題です。マルウェアがC2サーバと通信する際に TLS/SSL を使う場合はもちろんそのやりとりの中身を記録したいですし、解析環境検知のためにメジャーなWebサービスに対して HTTPS でダミー通信を発する場合もあ
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
HTTP/3|Webエンジニアが知るべき新常識 ─ QUICやコネクションマイグレーションなどを学ぶ 新しい通信プロトコルとして普及が進んでいるHTTP/3については、エンジニアHubでも過去に概論的な記事を掲載しています。今回はアプリケーション開発者が自社サービスでHTTP/3を採用することを想定して、仕様上の留意点や、どのように使い始めるか、そしてサイトを制作する際に注意しておきたいポイントまでを藤吾郎(gfx)さんに解説していただきました。 本記事ではHTTP/3およびその通信プロトコルであるQUICを、アプリケーション開発者として活用する立場で入門します。HTTP/3は、HTTP/1.1とHTTP/2に続く新しいメジャーバージョンのHTTPプロトコルです。HTTP/3はHTTP/1.1およびHTTP/2を置き換えるポテンシャルを持っています。将来的にほとんどのインターネットトラフィ
『Reverse HTTP Transport』という提案仕様がIETFに提出されています。著者はMetaとNokiaの方々らです。また、HAProxyの方も同様の機能を検討しているそうです(参考URL)。 普通のProxyサーバでは、Proxyサーバからオリジンサーバにコネクション確立するのが一般的です。そのためにオリジンサーバが外部から接続を受けられるようにする必要があります。 Reverse HTTP Transportでは、逆にオリジンサーバからProxyサーバにコネクションを確立し、HTTPリクエストを受け付けるという構成になります。コネクションの確立/TLSハンドシェイクだけが逆向きで、コネクション確立された接続上で、ProxyからHTTPリクエストが送られます。 これによりオリジンサーバをインターネットに公開する必要がなくなります。 プロトコルについて この Reverse
Intro ついに URL バーから EV 証明書の組織表示が消されるアナウンスが、Chrome から発表された。 思えば、URL バーの見た目も、だいぶ変わってきたように思う。 URL バーの表示の変遷を一度まとめておく。 URL バーの再現 本当なら古いブラウザのスクショを集めたいところだったが、これは非常に難しい。ネットで色々落ちてるものをかき集めても、ライセンスや解像度や表示されている URL などを考えると、使い勝手は決して良くない。 試しに古い Chromium をビルドしてみたが、一定より古いものはうまく開くことすらできなかった。開くことができたバージョンもあったが、どうやらそれだけでは当時の URL バーの UI までは再現されないようだ。 そこで、実物のスクショはあきらめ「一般的な URL バーのイメージ」を書いた図で、おおまかな変遷を辿る。あくまで架空の図であることに注
Build a Tiny Certificate Authority For Your HomelabUpdated on: May 20, 2024 Updated on February 16, 2023 TL;DR In this tutorial, we're going to build a tiny, standalone, online Certificate Authority (CA) that will mint TLS certificates and is secured with a YubiKey. It will be an internal ACME server on our local network (ACME is the same protocol used by Let's Encrypt). The YubiKey will securely
概要 本書は、Webシステムのセキュリティを支える技術を幅広く解説します。具体的には、公開鍵暗号、共通鍵暗号、ディジタル証明書、電子署名、認証・認可などの基礎技術の用語や理論の説明から、それらを応用したSSL/TLS、SSH、OAuth、OpenID Connectなど各種の規約やプロダクトの使い方までを解説します。 今やWebシステムは社会や経済を支える基盤となっており、Webシステムの開発・運用に携わるITエンジニアは前述の技術の理解が欠かせません。暗号技術、認証・認可にかかわる基礎教養と具体的な規約・プロダクトをこの1冊で学べます。 本書は、IT月刊誌『Software Design』の暗号技術、認証・認可に関連する特集記事などを再編集した書籍です。 目次 第1章 今さら聞けない暗号技術 1-1 ネット社会を支える暗号化のキホン 1-2 公開鍵暗号と共通鍵暗号のしくみ 1-3 暗号を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
