著者:ym
DoTとDoHのDNSサービス
IIJが開始したことでいろいろ見ていますが、TLSやHTTPS上でセキュアにDNS解決する為の技術の様です。
DoTやDoH は対応したブラウザなどが必要な様です。Firefox が対応している様なので試してみました。
FirefoxでDNS Over HTTPSを有効にする方法
https://blog.halpas.com/archives/12336
about:config から network.trr で絞ったところ mode が 0 だったので 3 に変更して実行してみました。
2 は DoT 優先もモードらしいので 3 で DoT のみへ変更してみました。
・・・・・・ なんだかもともと TRR が true のところがちらほらあったので、DoT 化できたか不明ですが、これでセキュアな DoT 通信になったわけですね?
というか 0 へ戻しても、ちらほら TRR が true のところが有るので、Firefox だと実際は使われているのかな。
著者:ym
ssllabs で A+
sslabs A+ www.drive.ne.jp
レンタルサーバの Drive Network のホームページを ssllabs でテストしたところ、A+ でした。
さすがにセキュリテイ対策は万全の様です。
Google Chrome もバージョン 69 になり、更にセキュリティ強度が上がっています。それに合わせたてレンタルサーバを選ぶのも大変です。
著者:ym
certbot と nsupdate
常に SSL/TLS の Web ページとして表示するいわゆる常時SSL化、いよいよ始まりました。
無償で利用できるLet’s Encryptの人気が高まっていますね。関連するので nsupdate と certbot 関連を調べてみました。
- SSL証明書-Let’s EncryptでSSL証明書の新規取得と自動更新(dns-01編) – NORK’s -HOW TO…- Wiki 略して「のうはうWiki」
- DNSSECとDNS update(RFC2136,nsupdate)とdelegation – Abacus Technologies Blog – kana.me 要
nsupdate 関連については、簡単なので置いておくとして。問題は、certbot と nsupdate さらには apache の連携です。すべてバラバラのサーバで運用している上に FreeBSD なサーバです。まだ古いFreeBSD上で動かす方法を考えていますが、やはりCentOSかな。
著者:ym
常時VPN
先日のISP、NTTグループのブロッキングに続いて、mineoは画像の最適化を開始する様です。
解説:mineoが悪名高い「通信の最適化」を開始。 – すまほん!!
内容を見ると https (SSL/TLS接続) の場合は改ざんしない様なので、常時SSL化ではなく常時VPN化も検討してみることにします。
Android には、常にVPN通信する設定があるので、L2TP/IPsec を設定して、常時VPNをオンにします。しかし何故か、VPNサーバのアドレスと、DNSサーバのアドレスを IP アドレス指定で設定しなければならない様子。
VPNサーバはクラウドVPSを利用するので通信速度の劣化には無いとは思いますが、数日使って見て少し厄介だったのが、バンドオーバー時の再接続待ち。
それと、接続した無線LANに応じて、同じ FQDN でも、内部DNSやパブリックDNSで返すIPアドレスの値を変化させている部分。DNSサーバを複数指定して見ようと思いましたが、スペース区切りでも常時VPNの場合は1個しか記述できない様子です。
著者:ym
オレオレ SAN 対応証明書
最近の SSL 証明書では SAN (Subject Alternative Name) と言われるマルチドメイン対応しています。
例えば企業で以下の Web サイトを運用していた場合は、1 枚の証明書に全て含める事ができる様になっています。
- www.cpoint-lab.co.jp
- cpoint-lab.co.jp
- www.c-point.co.jp
- www.tida-cloud.co.jp
- www.tida-square.co.jp
- www.hamazo.co.jp
SSL 証明書のサービスで 500 ドメインまで対応とかの文字も見かけるので、相当数対応しているのではと思います。
技術的には、格納可能なバイト数として 4096 バイトの様なのでコモンネームの文字長によって変化する様です。
ただし、一度に全ての証明書更新となるため、一つの URL を追加した場合でも、全てのサーバで入れ直しする必要が出てくるので、これをめんどくさいと考えるか、一度で行えて効率化と捉えるかの判断が必要。
そんなマルチドメイン (SANs) の証明書をオレオレで作成したい。でも簡単。
openssl req \
-newkey rsa:2048 \
-days 3650 \
-nodes \
-x509 \
-subj "/C=/ST=/L=/O=/OU=/CN=www.cpoint-lab.co.jp" \
-extensions SAN \
-config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=\
'DNS:www.cpoint-lab.co.jp,\
DNS:cpoint-lab.co.jp,\
DNS:www.c-point.co.jp,\
DNS:www.tida-cloud.co.jp,\
DNS:www.tida-square.co.jp,\
DNS:www.hamazo.co.jp,\
DNS:*.c-point.ne.jp'\
")) \
-keyout server.key \
-out server.crt
オラオラ~な証明書なので、ワイルドカードも含めたりとなんでもし放題です。自己CA局作ってブラウザにインストールする場合は、CA局を事前に構築する必要がありますが、証明書だけ使えれば良いという事であれば、この 1 行でサクッと作る事ができます。
著者:ym
Let’s Encrypt ワイルドカードSSL証明書とSANで複数FQDN
Let’s Encrypt で ワイルドカード SSL 証明書が発行される予定でしたが、先日延期となってしまいました。
Wildcard Certificates Coming January 2018 – Let’s Encrypt – Free SSL-TLS Certificates
いつ頃リリース予定なのだろうか。ただ最近は、別ドメインを含めた複数SANに対応したSSL証明書を発行できる為、用途によっては普通の証明書で収容できる可能性があります。
- www.cpoint-lab.co.jp
- cpoint-lab.co.jp
- blog.cpoint-lab.co.jp
- c-pointlab.com
- www.c-pointlab.com
これら全てを1個のSSL証明書へ突っ込むこともできるんですよ。
勿論Let’s Encryptは無償で出来ますが、グローバルサイン社の場合は OV 認証である 「企業認証 SSL」から対応しています。