タグアーカイブ SSL

著者:ym

ssllabs で A+

sslabs A+ www.drive.ne.jp

sslabs A+ www.drive.ne.jp

レンタルサーバの Drive Network のホームページを ssllabs でテストしたところ、A+ でした。
さすがにセキュリテイ対策は万全の様です。

Google Chrome もバージョン 69 になり、更にセキュリティ強度が上がっています。それに合わせたてレンタルサーバを選ぶのも大変です。

  • この記事いいね! (0)
著者:ym

certbot と nsupdate

常に SSL/TLS の Web ページとして表示するいわゆる常時SSL化、いよいよ始まりました。

無償で利用できるLet’s Encryptの人気が高まっていますね。関連するので nsupdate と certbot 関連を調べてみました。

nsupdate 関連については、簡単なので置いておくとして。問題は、certbot と nsupdate さらには apache の連携です。すべてバラバラのサーバで運用している上に FreeBSD なサーバです。まだ古いFreeBSD上で動かす方法を考えていますが、やはりCentOSかな。

  • この記事いいね! (0)
著者:ym

常時VPN

先日のISP、NTTグループのブロッキングに続いて、mineoは画像の最適化を開始する様です。

解説:mineoが悪名高い「通信の最適化」を開始。 – すまほん!!

内容を見ると https (SSL/TLS接続) の場合は改ざんしない様なので、常時SSL化ではなく常時VPN化も検討してみることにします。

Android には、常にVPN通信する設定があるので、L2TP/IPsec を設定して、常時VPNをオンにします。しかし何故か、VPNサーバのアドレスと、DNSサーバのアドレスを IP アドレス指定で設定しなければならない様子。

VPNサーバはクラウドVPSを利用するので通信速度の劣化には無いとは思いますが、数日使って見て少し厄介だったのが、バンドオーバー時の再接続待ち。

それと、接続した無線LANに応じて、同じ FQDN でも、内部DNSやパブリックDNSで返すIPアドレスの値を変化させている部分。DNSサーバを複数指定して見ようと思いましたが、スペース区切りでも常時VPNの場合は1個しか記述できない様子です。

  • この記事いいね! (0)
著者:ym

オレオレ SAN 対応証明書

最近の SSL 証明書では SAN (Subject Alternative Name) と言われるマルチドメイン対応しています。

例えば企業で以下の Web サイトを運用していた場合は、1 枚の証明書に全て含める事ができる様になっています。

  • www.cpoint-lab.co.jp
  • cpoint-lab.co.jp
  • www.c-point.co.jp
  • www.tida-cloud.co.jp
  • www.tida-square.co.jp
  • www.hamazo.co.jp

SSL 証明書のサービスで 500 ドメインまで対応とかの文字も見かけるので、相当数対応しているのではと思います。

技術的には、格納可能なバイト数として 4096 バイトの様なのでコモンネームの文字長によって変化する様です。

ただし、一度に全ての証明書更新となるため、一つの URL を追加した場合でも、全てのサーバで入れ直しする必要が出てくるので、これをめんどくさいと考えるか、一度で行えて効率化と捉えるかの判断が必要。

そんなマルチドメイン (SANs) の証明書をオレオレで作成したい。でも簡単。

openssl req \
  -newkey rsa:2048 \
  -days 3650 \
  -nodes \
  -x509 \
  -subj "/C=/ST=/L=/O=/OU=/CN=www.cpoint-lab.co.jp" \
  -extensions SAN \
  -config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=\
   'DNS:www.cpoint-lab.co.jp,\
    DNS:cpoint-lab.co.jp,\
    DNS:www.c-point.co.jp,\
    DNS:www.tida-cloud.co.jp,\
    DNS:www.tida-square.co.jp,\
    DNS:www.hamazo.co.jp,\
    DNS:*.c-point.ne.jp'\
   ")) \
  -keyout server.key \
  -out server.crt

オラオラ~な証明書なので、ワイルドカードも含めたりとなんでもし放題です。自己CA局作ってブラウザにインストールする場合は、CA局を事前に構築する必要がありますが、証明書だけ使えれば良いという事であれば、この 1 行でサクッと作る事ができます。

subjectAltNameに対応した自己署名証明書の作り方 – Qiita

  • この記事いいね! (1)
著者:ym

Let’s Encrypt ワイルドカードSSL証明書とSANで複数FQDN

Let’s Encrypt で ワイルドカード SSL 証明書が発行される予定でしたが、先日延期となってしまいました。

Wildcard Certificates Coming January 2018 – Let’s Encrypt – Free SSL-TLS Certificates

いつ頃リリース予定なのだろうか。ただ最近は、別ドメインを含めた複数SANに対応したSSL証明書を発行できる為、用途によっては普通の証明書で収容できる可能性があります。

  • www.cpoint-lab.co.jp
  • cpoint-lab.co.jp
  • blog.cpoint-lab.co.jp
  • c-pointlab.com
  • www.c-pointlab.com

これら全てを1個のSSL証明書へ突っ込むこともできるんですよ。

勿論Let’s Encryptは無償で出来ますが、グローバルサイン社の場合は OV 認証である 「企業認証 SSL」から対応しています。

  • この記事いいね! (0)
著者:ym

openssl と SNI

かなりまえから 1 IP アドレスで SSL (https) サイトの運用ができる様になったのですが、自社に SNI 環境が無く無用でした。けど、今回 openssl する必要が出てきたのでメモです。

# non SNI + TLS
openssl s_client -connect www.google.com:443 -tls1
openssl s_client -connect www.google.com:443 -tls1_1
openssl s_client -connect www.google.com:443 -tls1_2

# SNI + TLS
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1_1
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1_2

こんな風に -servername オプションで 名前を送信する事ができます。

  • この記事いいね! (0)
著者:ym

情報セキュリティ対策とSSL

Identity for Everything

Identity for Everything

SSL証明書を沢山購入しているグローバルサイン社からカレンダーが届きました。かっこいいカレンダーですね。中は月ごとにセキュリティやSSLについての川柳が書かれています。

そう、SSL 証明書は大事。導入しておかないと後で大変なことになります。ですが、サーバ運用をしている側からすると意外と厄介な部分なんですよね。

・暗号化 (ウェブシステム、メール、FTP、POP、IMAP などなど)
・VPN
・個人の認証 (PKI)

など色々な所へ影響していて、手を焼く人気のヤツ。

  • この記事いいね! (0)
著者:ym

Symantec証明局から発行されたSSL証明書の信頼されなくなる

Let's Encrypt

Let’s Encrypt

Firefox と Google Chrome が Symantec 認証局から発行された SSL 証明書を「信頼しない」化を進めていますね。お客様の中にも 元 Symantec の認証局で発行した SSL 証明書がありましたが、今ではSymanetc社から事業譲渡によりデジサート社へと切り替わってたりします。

傘下だった企業が発行したジオトラスト(GeoTrust) や RapidSSL、Thawte も影響を受けるようです。複数年で購入していなければそれ以前に有効期限切れになるので、あまり影響は受けないですがご注意を。

  • この記事いいね! (0)