タグアーカイブ openssl

著者:ym

DoTとDoHのDNSサービス

IIJが開始したことでいろいろ見ていますが、TLSやHTTPS上でセキュアにDNS解決する為の技術の様です。

DoTやDoH は対応したブラウザなどが必要な様です。Firefox が対応している様なので試してみました。

FirefoxでDNS Over HTTPSを有効にする方法

https://blog.halpas.com/archives/12336

about:config から network.trr で絞ったところ mode が 0 だったので 3 に変更して実行してみました。
2 は DoT 優先もモードらしいので 3 で DoT のみへ変更してみました。

・・・・・・ なんだかもともと TRR が true のところがちらほらあったので、DoT 化できたか不明ですが、これでセキュアな DoT 通信になったわけですね?

というか 0 へ戻しても、ちらほら TRR が true のところが有るので、Firefox だと実際は使われているのかな。

  • この記事いいね! (0)
著者:ym

openssl 1.1.1 リリース

2018年9月11日 OpenSSL 1.1.1 がリリースされました。

この 1.1.1 では TLSv1_3 (TLS v1.3) がサポートされています。また、LTS リリースとなるので 2023年9月11日までのサポートになるバージョンです。

かなり前に 1.0.1 のサポートが停止され、来年末には LTS の 1.0.2p も終わります。面倒ではあるけど、インターネットで公開する環境を提供している以上、サポート終了に間に合う様に入れ替え準備は必須。

とほほ。

https://abi-laboratory.pro/?view=timeline&l=openssl

このあたりに API/ABI の履歴があるので、じっくり見て、上書きか別ディレクトリか、かな。

  • この記事いいね! (0)
著者:ym

openssl と SNI

かなりまえから 1 IP アドレスで SSL (https) サイトの運用ができる様になったのですが、自社に SNI 環境が無く無用でした。けど、今回 openssl する必要が出てきたのでメモです。

# non SNI + TLS
openssl s_client -connect www.google.com:443 -tls1
openssl s_client -connect www.google.com:443 -tls1_1
openssl s_client -connect www.google.com:443 -tls1_2

# SNI + TLS
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1_1
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1_2

こんな風に -servername オプションで 名前を送信する事ができます。

  • この記事いいね! (0)