著者:ym
DoTとDoHのDNSサービス
IIJが開始したことでいろいろ見ていますが、TLSやHTTPS上でセキュアにDNS解決する為の技術の様です。
DoTやDoH は対応したブラウザなどが必要な様です。Firefox が対応している様なので試してみました。
FirefoxでDNS Over HTTPSを有効にする方法
https://blog.halpas.com/archives/12336
about:config から network.trr で絞ったところ mode が 0 だったので 3 に変更して実行してみました。
2 は DoT 優先もモードらしいので 3 で DoT のみへ変更してみました。
・・・・・・ なんだかもともと TRR が true のところがちらほらあったので、DoT 化できたか不明ですが、これでセキュアな DoT 通信になったわけですね?
というか 0 へ戻しても、ちらほら TRR が true のところが有るので、Firefox だと実際は使われているのかな。
著者:ym
ssllabs で A+
sslabs A+ www.drive.ne.jp
レンタルサーバの Drive Network のホームページを ssllabs でテストしたところ、A+ でした。
さすがにセキュリテイ対策は万全の様です。
Google Chrome もバージョン 69 になり、更にセキュリティ強度が上がっています。それに合わせたてレンタルサーバを選ぶのも大変です。
著者:ym
certbot と nsupdate
常に SSL/TLS の Web ページとして表示するいわゆる常時SSL化、いよいよ始まりました。
無償で利用できるLet’s Encryptの人気が高まっていますね。関連するので nsupdate と certbot 関連を調べてみました。
- SSL証明書-Let’s EncryptでSSL証明書の新規取得と自動更新(dns-01編) – NORK’s -HOW TO…- Wiki 略して「のうはうWiki」
- DNSSECとDNS update(RFC2136,nsupdate)とdelegation – Abacus Technologies Blog – kana.me 要
nsupdate 関連については、簡単なので置いておくとして。問題は、certbot と nsupdate さらには apache の連携です。すべてバラバラのサーバで運用している上に FreeBSD なサーバです。まだ古いFreeBSD上で動かす方法を考えていますが、やはりCentOSかな。
著者:ym
常時VPN
先日のISP、NTTグループのブロッキングに続いて、mineoは画像の最適化を開始する様です。
解説:mineoが悪名高い「通信の最適化」を開始。 – すまほん!!
内容を見ると https (SSL/TLS接続) の場合は改ざんしない様なので、常時SSL化ではなく常時VPN化も検討してみることにします。
Android には、常にVPN通信する設定があるので、L2TP/IPsec を設定して、常時VPNをオンにします。しかし何故か、VPNサーバのアドレスと、DNSサーバのアドレスを IP アドレス指定で設定しなければならない様子。
VPNサーバはクラウドVPSを利用するので通信速度の劣化には無いとは思いますが、数日使って見て少し厄介だったのが、バンドオーバー時の再接続待ち。
それと、接続した無線LANに応じて、同じ FQDN でも、内部DNSやパブリックDNSで返すIPアドレスの値を変化させている部分。DNSサーバを複数指定して見ようと思いましたが、スペース区切りでも常時VPNの場合は1個しか記述できない様子です。
著者:ym
オレオレ SAN 対応証明書
最近の SSL 証明書では SAN (Subject Alternative Name) と言われるマルチドメイン対応しています。
例えば企業で以下の Web サイトを運用していた場合は、1 枚の証明書に全て含める事ができる様になっています。
- www.cpoint-lab.co.jp
- cpoint-lab.co.jp
- www.c-point.co.jp
- www.tida-cloud.co.jp
- www.tida-square.co.jp
- www.hamazo.co.jp
SSL 証明書のサービスで 500 ドメインまで対応とかの文字も見かけるので、相当数対応しているのではと思います。
技術的には、格納可能なバイト数として 4096 バイトの様なのでコモンネームの文字長によって変化する様です。
ただし、一度に全ての証明書更新となるため、一つの URL を追加した場合でも、全てのサーバで入れ直しする必要が出てくるので、これをめんどくさいと考えるか、一度で行えて効率化と捉えるかの判断が必要。
そんなマルチドメイン (SANs) の証明書をオレオレで作成したい。でも簡単。
openssl req \
-newkey rsa:2048 \
-days 3650 \
-nodes \
-x509 \
-subj "/C=/ST=/L=/O=/OU=/CN=www.cpoint-lab.co.jp" \
-extensions SAN \
-config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=\
'DNS:www.cpoint-lab.co.jp,\
DNS:cpoint-lab.co.jp,\
DNS:www.c-point.co.jp,\
DNS:www.tida-cloud.co.jp,\
DNS:www.tida-square.co.jp,\
DNS:www.hamazo.co.jp,\
DNS:*.c-point.ne.jp'\
")) \
-keyout server.key \
-out server.crt
オラオラ~な証明書なので、ワイルドカードも含めたりとなんでもし放題です。自己CA局作ってブラウザにインストールする場合は、CA局を事前に構築する必要がありますが、証明書だけ使えれば良いという事であれば、この 1 行でサクッと作る事ができます。
著者:ym
Let’s Encrypt ワイルドカードSSL証明書とSANで複数FQDN
Let’s Encrypt で ワイルドカード SSL 証明書が発行される予定でしたが、先日延期となってしまいました。
Wildcard Certificates Coming January 2018 – Let’s Encrypt – Free SSL-TLS Certificates
いつ頃リリース予定なのだろうか。ただ最近は、別ドメインを含めた複数SANに対応したSSL証明書を発行できる為、用途によっては普通の証明書で収容できる可能性があります。
- www.cpoint-lab.co.jp
- cpoint-lab.co.jp
- blog.cpoint-lab.co.jp
- c-pointlab.com
- www.c-pointlab.com
これら全てを1個のSSL証明書へ突っ込むこともできるんですよ。
勿論Let’s Encryptは無償で出来ますが、グローバルサイン社の場合は OV 認証である 「企業認証 SSL」から対応しています。
著者:ym
openssl と SNI
かなりまえから 1 IP アドレスで SSL (https) サイトの運用ができる様になったのですが、自社に SNI 環境が無く無用でした。けど、今回 openssl する必要が出てきたのでメモです。
# non SNI + TLS
openssl s_client -connect www.google.com:443 -tls1
openssl s_client -connect www.google.com:443 -tls1_1
openssl s_client -connect www.google.com:443 -tls1_2
# SNI + TLS
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1_1
openssl s_client -connect www.google.com:443 -servername www.google.com -tls1_2
こんな風に -servername オプションで 名前を送信する事ができます。
著者:ym
情報セキュリティ対策とSSL
Identity for Everything
SSL証明書を沢山購入しているグローバルサイン社からカレンダーが届きました。かっこいいカレンダーですね。中は月ごとにセキュリティやSSLについての川柳が書かれています。
そう、SSL 証明書は大事。導入しておかないと後で大変なことになります。ですが、サーバ運用をしている側からすると意外と厄介な部分なんですよね。
・暗号化 (ウェブシステム、メール、FTP、POP、IMAP などなど)
・VPN
・個人の認証 (PKI)
など色々な所へ影響していて、手を焼く人気のヤツ。
著者:ym
Symantec証明局から発行されたSSL証明書の信頼されなくなる
Let’s Encrypt
Firefox と Google Chrome が Symantec 認証局から発行された SSL 証明書を「信頼しない」化を進めていますね。お客様の中にも 元 Symantec の認証局で発行した SSL 証明書がありましたが、今ではSymanetc社から事業譲渡によりデジサート社へと切り替わってたりします。
傘下だった企業が発行したジオトラスト(GeoTrust) や RapidSSL、Thawte も影響を受けるようです。複数年で購入していなければそれ以前に有効期限切れになるので、あまり影響は受けないですがご注意を。