「SSL証明書」を含む日記 RSS

はてなキーワード: SSL証明書とは

2020-05-14

anond:20200514142921

別に珍しくもない話じゃないかと思うけど、最近もなんかあったの?

オレオレ詐欺的なヤツはソーシャルハックだからオンライン化するしないってのは関係ないけど

公式オンライン化しちゃう区別のつきにくい模倣ってのはどうしても取り締まりきれないよね。

最近Google様も「お前らどうせSSL証明書の内容なんかそんなに見ねーだろ?」って表示を分かりづらくさせる方向だし

独自エンジンブラウザってFirefoxしかねぇけどアンチ広告姿勢のせいで企業サポートどんどん得られにくくなるだろうし

ネットを取り巻く環境が「自分はそういう詐欺に引っかからない」って自信を持ちづらくなってきてるんだよなぁ。

2020-04-25

金融機関ネット手続き安全に使いやすくなったのか知りたい

anond:20200417193708

銀行など金融機関ネット手続きは、認証手続など

以前は信頼できなかった。

今は信頼性いか知りたい。とても知りたい。




使い勝手も悪かった。

WindowsのみIEのみ、

IEバージョンアップしたら2世代前の版でないと非対応

こんなの付き合えないか個人では利用した事ない。


安全性のために堅固な造りなのだろうが、

個人で導入するには面倒と安全性に対する不安が大きかった。




IEバージョンダウンはどうしたのか、よく覚えていない。

利用していない遠方の金融機関


「「最新バージョンで利用して下さい」のような警告が出たら、

OKキャンセル も押さずに 右上の Xボタンクリックして下さい」


と案内があると(警告無視推奨)、

はてな あたりで話題になっていたような覚えがある。


新版なのに旧版扱い。

急場しのぎには仕方ないのだろうが、1年以上対応そのまま。




SSL証明書有効期限が切れてる

オレオレ証明書問題」もあった。


ワンタイムパスワード2段階認証など、

安全性維持の様々な対応策があるが、

以前の体験や見聞により、金融機関ネット利用手続きには不安が大きい。




令和 2020 年代に入り、悪い病も流行し、ネットで済むなら利用したい。

しかし怖い。

金融機関には少額でも自分には大事財産から

信頼できないシステムを使いたくない。

https://anond.hatelabo.jp/20200417230216

https://anond.hatelabo.jp/20200425154329

2020-01-07

これはむずかしい。SSL証明書有効期限が切れます

 ↓

プログラム側で有効期限の確認無効化しろ

 ↓

さぁ、どう反論する?

 

もし証明書が盗まれていたら

管理者はお前だ。お前が盗まれ場合に備えて、おれが手続きするのか?など

 

この証明書が盗まれ場合に、お前ではなく、俺のかし責任のほうが強いと主張した根拠は?

これどう答えたらいい?

 

これは難しい そりゃおれくびになるかもな。

2019-08-26

セックスしないと出れない部屋に閉じ込められて10年たった

Wifi環境完備とはいえiPhone3GSだと流石につらくなってきた。

遅さは我慢できるとして、SSL証明書関係エラーが出るサイトが増えてきた。

どんどん重くなるサイトが増えてくなか、増田は相変わらず軽くて良い。

2019-06-18

anond:20190618232031

わかりやすく言うとお前のPCが、お前の証明書を発行しているか

SSL証明書って知ってるだろ?そこにお前の年齢と住所が書かれている

2019-02-01



彼氏軽自動車だった」のパロディなので、このツイート自体が「馬鹿たこと言ってる」ってネタではあるんだが、エンジニア諸氏のマジ怒りを買っているようだ

2018-12-11

anond:20181211194254

SSL証明書更新には必ずウェブサーバ再起動か reload 処理が必要だよ。

運用的には、そのreload を cron で自動でやるか、手動でやるかの違いしかない。

2017-11-13

"SSL証明書"という言い回しが嫌い

SSL証明書無料SSLマネードSSLなどの造語が好きじゃない

一部頑なにSSLという言い回しを好む人がいて、サーバ証明書SSL証明書というせいで、TLS場合は?とかよく分からない疑問を生み出すし

TLSじゃないのか?みたいな混乱を生み出すし

無料じゃないSSLとかあるのか?と思う。

HTTPS対応も、SSL対応とか言うし、もうめちゃくちゃだなって思う

2016-12-16

短縮URLって元ページの所有者にとって害悪だと思うけど

金払ってドメインとってSSL証明書も付けてかっこいいURL作ってんのに

bitlyでフックされて、アク解されて、こんな有用コンテンツ知ってるオレカッコイイされて、奴のフォロワーが増えて、

鯖代、CDN代、証明書代、その他コンテンツ配信コストは全部こっち持ち?

あーなんか違う。無断リンクは全て悪だわw

2015-11-25

Webサービスを常時SSL化しようとして諦めた話

弊社の新規事業Webサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。

世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiニコニコなどの大手もやってないようだ。ニコニコURLを試しにhttpsにしてみたら繋がらず、mixihttpリダイレクトされる。

うちは新規から最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttphttpsリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。

つづく。

続き。

サービスではユーザーYouTubeなどの動画を貼り付ける機能重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードhttpなせいで、さら最近ブラウザhttpsページの中にhttpコンテンツがあると、警告も出さずまったく表示しない仕様になっているようだ。

何か解決方法はないかと調べてみると逆に、同じ理由https対応広告アフィリエイトも貼れないことが判明。広告モデル無料サービスなのでこれは致命的。

というわけで当初の予定とはまったく反対の、httpshttpリダイレクトする羽目になるという笑えるオチになってしまった(httpsで見られると広告なくなっちゃうため)。それでmixiニコニコ対応してなかったのか…。

事前にろくに調査もせず先端を行こうとしたが時代がついてきていなかったという話。

2015-08-07

一体なんだよこの記事

http://webbingstudio.com/weblog/cms/entry-773.html

知ってか知らずかちょっとこの記事ひどいので、突っ込む。

共用SSL証明書が当たり前?

小規模の商用サイトでは、フォーム暗号化する際には、共有SSLを利用するのが当たり前となっています独自ドメインSSL証明書を取得すると、フォームを通して得られる収益よりも、維持費の方がはるかに高くなってしまうからです。

とこの記事では書かれていますが、一体どこで「当たり前」なんでしょうか?

SSL証明書の取得費用は、サーバーホスティングによって額がまちまちなのは確かですけれども、

安く独自SSL証明書を取得して利用できるサーバーホスティングは山ほどあります

WEB制作者として「自分が良く知っているだけ」のサーバーレンタルクライアント押し付けはいませんか?

また、小規模商用サイトにしても、仮に年額35,000円のSSL証明書をつけ、かつ、月額3,000円のサーバーを借りていたとすると

月額でいえば6,000円くらいの負担ですが、

いくら小規模とはいえ、広報活動の中核をなすWEBサイトであるならば、

月額6,000円をペイできないとすると、

ちょっと商用サイトとしては破綻しているように感じます

(というか、効果測定をしていないだけ?)

改ざん認識

共用SSLリスクに関して言えば、この記事引用している、高木浩光氏の書かれている通りではあります

cookieを取得できてしまうという点においては。ですね。

で、その部分の帰結が、完全におかしい。

cookieが取得できてしまう結果として、一番最初に狙われるのは、管理画面へのログイン

いわゆるセッションハイジャックです。

ログイン状態を乗っ取られた時点で、どんなCMSでも、WEBサイト改ざんは可能です。

なぜか。

CMSは「コンテンツマネージメント」する仕組みで、

そのコンテンツは多くの場合MySQL代表されるDBに保存してあります

したがって、ファイル改ざんなどを行わずとも、WEBサイトの内容は書き換えることが可能なのです。

WEBアプリケーションの仕組みに明るくない方が読むと

「なるほど」と思ってしまうかもしれないので、

早々に訂正していただきたい。

また、この記事にある a-blog cmsというCMSについてはよく知りませんが、

多くのモダンCMSでは、ほとんどの管理画面ログインにおいて、

セッションハイジャックに対する防衛は行われていますので、

cookieの取得が、即WEBページの改ざんに繋がるような書き方も、

CMS利用者に対して、誤解を広げる結果になりそうですので、

ここも早々に訂正していただきたい。

CMSを過信していないか?

この筆者さんは、a-blog cmsというCMSを利用されているようだ。

このCMSはどうやら、PHP製ながらPHPソース暗号化しているようだ。

なるほど、それならばファイル改ざんは確かに起きにくい。

が、それはあくまで起きにくいだけの問題

こう言ってはなんですが、攻撃者にしてみれば、a-blog cms攻略するくらいならMovable TypeWordPressを攻めた方が楽というものです。

この記述むちゃくちゃである攻撃者にしてみれば、誰でも手に入れられるCMSであれば、

ファイル構造の解析はそんなに難しい話ではない。

a-blog cms公式サイトを拝見すると、MySQLを利用しているようで、

ともすれば、インストールさえしてしまえば、

ファイル暗号化はなされていようとも、DBの中身の仕様は丸見えだ。

前提条件として「知っている」「知らない」の差はあれど、攻撃に関して「ラク」というのは

どう考えても楽観的に過ぎる考えだ。

安全」の認識

最後に突っ込んでおきたい。というか質問というか。

どうも「SSLで確保される安全領域」について、かなり認識が甘いようだ。

SSLあくまで、TCP/IPネットワークにおいて通信経路を暗号化するための技術だ。

通信する際に、通信先のサーバーが正しく認証されているかどうか?に必要なのはSSL証明書

で、ここに書いたとおり、SSLあくまサーバー利用者通信においての暗号化だ。

この記事に書かれていることは「メールフォームについて」のことのようだが、

サーバーに到達したあとのメールについては安全性をかんがえていますか?

メールは全く暗号化されず平文で送信されるとても脆弱通信手段だ。

いくらSSL通信暗号化しようとも、問い合わせフォームの送信がメールだったとすると…

外部から傍受される危険性が高くなります

とこの記事ではかかれていますが、そもそもHTTPHTTPS通信を傍受するより遥かに

メールを傍受したほうがラクとも考えられるはず。

CMSを使っている方を非難するわけではないが、

CMS機能に甘んじて、こういったベーシック問題に考えが及んでいないとすると、

WEB制作者としては、ちょっと配慮が足らなくはないですか?

とおもう。

P.S SSLということばはもうないよ。

記事に対するつっこみではないですが、

SSLということばは、とても古い言葉です。

便宜上みんな「SSL」といっているだけで、

正しくは「TLS」でっせ。

2014-12-31

1年の締めとして一人ハッカソンした

去年の今頃は「今年こそはすごいWebサービス作るぞ!!!!!!!!!!!」って意気込んでたのに

なんかもう今日が最終日。

ということでこの12月から何か作ろうと考えていて、丁度年末からということで作った。


Amazon購入金額分析

前にAmazonの購入金額合計を出すブックマークレット流行ったけど、それとほぼ同じ。

Amazonの今までの合計金額と、書籍とかPCとかカテゴリごとの合計金額出してグラフにする。

適当Twitter投稿して終わり。


年末だしTwitterで「2014年Kindle購入金額内訳は...でした」とか投稿すれば

みんなつられてアクセスするはず!宣伝しなくても勝手に大ブーム間違いなし!!!!!!!!

最終日に目標達成大勝利!!!!!!!!!


って思ってたけど

投稿してもだれもアクセスしてくれない。待っても待ってもアクセス0。

e?嘘でしょ???って思ったら

EC2セキュリティグループの設定変更忘れてた。

よーし今度こそアクセス過多間違いなし!!!!!


のはずだったけど今度はrobots.txt見に来るクソbotしかアクセスしてくれない。

虚しさ半端ない

というかTwitterURLつぶやくと即効でどこぞやのクローラー巡回してくるんですね。


構成自体クライアントサーバサイド共にjsEC2上でnode.js

D3.jsグラフ画像svgからどうにかしてpngにしないとTwitter投稿出来ないのが微妙に面倒だった

投稿時にクライアント側でbase64canvaspngにしても良かったけど

結局サーバサイドのphantomjsやらせた。

商品カテゴリ取得するためにはProduct Advertising API使うしかなくて

コレが毎秒1商品しか取得できない厳しい制限付き。

重複なしで600商品購入してたらなら10分かかる。

redis上にキャッシュしておいたりwebsocket適当に進捗伝えたりした。


今回得た経験値としては


あたり。


今年は残念ながら目標不達成だったけど、いい最終日の過ごし方になったと思う。

お疲れ様でした。

2014-06-13

UFJ推奨のセキュリティソフトが信頼できないんだけどこれどうすれば

MUFJのオンラインバンキングを申し込んでみたのだがそこでセキュリティソフトを推奨された。

 こいつだ。http://www.trusteer.com/ja/products/trusteer-rapport-for-online-banking-ja

残難ながらこれのダウンロードリンクhttpsでは提供されていない。賢明な諸兄はご存知の通りhttps提供されていないソフトは信頼しないことが大原則だ。

ファイルhttps提供されない場合https提供されているMD5情報などを元にファイル正当性を確認する必要がある。

何と言っても、オンラインバンキング専用セキュリティソフトだ。最大限の注意を払う必要がある。

問題がある場合は私の全財産がどこかに送られてしまう。

さて、困惑した私は会社サポートチャットに問い合わせをすることにした。

"https提供されていないソフトウェアをどうやって信頼すればいいのでしょうか?"というのが、はじめの質問である

以下がそのログ抜粋担当者フルネームが表示されていた箇所を「サポート」と伏せている)

サポート: https提供されていないソフトは、インストールの際にソフトウェアデジタル署名をご確認ください。

増田: 私はOSXを使っていますが、

増田: Trusteerエンドポイント保護アンインストール.appを実行する場合インターネットからダウンロードしたソフトですが信頼しますか?というようなことが表示されますよ。

サポート: はいアップルストアから提供品ではないためそのようなメッセージが表示されることもございます

増田: また、OS Xでは署名apple認証したデベロッパーが開発したソフトウェアであることをを証明してもデフォルトでは提供元を表示する機能は無かった様に記憶してます

増田: 実は提供元を保証する様に機能があるのでしょうか?

サポート: ルート証明が正しければ正しい提供元としてTrusteerが表示されますので、ご確認いただけますでしょうか。

増田: えーと、それはどのようにすればいいのでしょうか?

サポート: 申し訳ございませんが、この内容はRapportのサポート範囲外となりますので、お答えできかねますインターネット等でお調べいただけますでしょうか。

サポート: 正規のソフトウェアである事をご確認いただくための情報としては、組織に「Trusteer LTD」が表示されていることとなります

増田: ではもう一点

増田: https接続先が偽物というのはどのような場合でしょうか? 考えられるのは 1.接続先の秘密鍵漏れている場合 2.接続もと(ブラウザなど)が信頼できない認証局を信頼している 3.サイトがハックされている などのケースが考えられますがどのようなケースを想定していますか?

サポート: サイト自体ハッキングもしくは、ファーミングされたケースを想定しております

サポート: ファーミングされた場合偽者SSL証明書を利用することでhttps接続となりますが、接続先は偽者、となります

増田: 私がrapport.pkgをinstallしようとする際にはpasswordを求められるまでの間にアプリケーション提供元や署名の表示などは行われませんでしたが、これは問題ないとお考えですか?

増田: おそらくwindowsだと提供もと証明などがでてくるのでしょうけど。

サポート: 署名の表示は、お客様操作によって表示されるものですので、Mac仕様となります

増田: なるほど、比較的容易な攻撃方法であるDNSポイゾニングなどで間違った接続先に接続した場合OSXユーザー能動的に確認する以外に自衛手段はないということでよろしいでしょうか?

サポート: はい。Rapportを導入していない状況ですので、お客様ご自身の自衛手段となります

増田: 今後httpsでの提供する計画はありますか?

サポート: 予定につきましてはお応え出来かねますが、ご要望として担当部署に伝えることは可能でございます

増田: OSXユーザーがRapportインストーする際にそのような自衛手段を案内することはRapportのサポート範囲外ですか?

サポート: 申し訳ございませんが、そうなります。ただデジタル署名情報でしたら先ほどご案内した通りでございますので、デジタル署名をご確認ください。

サポート: また、デジタル署名をご確認いただくことで、ソフトウェア自体改竄が加えられていないこともご確認いただけますので、http/httpsに関わらず確かな方法となります

増田: その確認方法自分で調べないといけないということですか?

サポート: 申し訳ございませんが、ご自身でお調べしていただくようお願い申し上げます

増田: わかりました、ありがとうございます。 予算さえあれば私でも御社セキュリティソフトの偽物を容易に配布できることをよく理解しました。

サポート: こちらこそお問合せありがとうございました。

サポート: お客様への回答は以上となりますが、他に何かご不明な点などはございますでしょうか。

増田: いえ、ありがとうございます

サポート: Trusteer・カスタマーサポートチャットサポートをご利用いただきありがとうございます

ちなみに私は.pkgや.appの署名を確認する方法を見つけることは出来なかった。

2012-04-23

Windows 2008 R2 IIS証明機関SSL 証明書を構成する

なんつうめんどくさい。。。

1.当然のことだが、最初インターネットインフォメーションサービス証明機関(WEB発行オプションも)の役割を追加

2.証明書の要求ファイル作成(IISマネージャを開いて、ツリーのサーバ名のところをクリック。右ペインのIISのところのサーバ証明書ダブルクリック。右の「操作」メニュー参照)

3.自己署名入り証明書を作成(IISマネージャを開いて、ツリーのサーバ名のところをクリック。右ペインのIISのところのサーバ証明書ダブルクリック。右の「操作」メニュー参照)

4.サイトのDefault Siteへhttpsバインド(IISマネージャのツリーのサイトから Default Web Site 選択。右メニューのバインドでhttpsを追加。SSL証明書自己署名した証明書を指定)

5.https://localhost/certSrv/アクセス証明書を「詳細」要求する。ここで、要求ファイルの中身を貼り付ける。

6.「証明機関」で証明書を発行

7.https://localhost/certSrv/アクセス。発行された証明書をダウンロード

8.「証明書の要求の完了」で、取り込み(IISマネージャを開いて、ツリーのサーバ名のところをクリック。右ペインのIISのところのサーバ証明書ダブルクリック。右の「操作」メニュー参照)

9.SSL対応するサイトhttpsバインド。

2011-04-23

http://anond.hatelabo.jp/20110423074645

はいはいバカバカ。注文メールも書けないのか?だいたいフォームついてるだけで信頼する、カートがあれば楽だから注文するとかバカですか。SSL証明書確認くらいしなさい。バカはバカだねえ。海外からリスク高いと思ってるのは情弱だけだ。時代に取り残されるな!

2010-03-02

http://anond.hatelabo.jp/20100302155226

ありがとうございます!m(_ _)m

結果はOKとなってしまいました。(biblioフルブラウザエラー出ず。)

予測がはずれました。

もっと条件を狭くしていくと、、

サブドメイン名にハイフンが入っている時のOpera mobileの挙動か、、。

ハイフンが2つ入っているとき??

サブドメインだったら、自分サイトサブドメイン作成して実験できるけど、SSL証明書取るのはタダじゃないし、、。

それか、ベリサインサーバー (https://extended-validation-ssl.verisign.com) のSSL証明書がおかしいか。。

募集 m(_ _)m

ドメイン名サブドメイン名も可)にハイフンが入っていて、

ベリサインSSL証明書が導入されている(SSLアクセスできる)サイトを知っている方がいたら

教えていただけないでしょうか。

aubiblioという携帯フルブラウザPCサイトビュアー)で、

https://extended-validation-ssl.verisign.com/dot_clear.gif

アクセスすると、証明エラーメッセージが出ます。

iモードフルブラウザや、パソコン用の一般的なブラウザで上記サイトアクセスしても

証明エラーは発生せず、

biblioで、上記サイト以外のいくつかのサイトSSL接続してもエラーが発生しませんでした。

biblioOpera mobileが悪いのか、ベリサインサーバー証明書の設定が間違っているのかの切り分けができていません。

biblioエラーが出る上記サイトだけの特有な特徴として、

ドメイン名にハイフンが入っているということに気付いたので、

同様の条件の、ほかのサイトでも試してみたいと思っていますが、見つけられません。

もし知っている方がいましたら、教えていただけると助かります。

(追記2)

ドメイン名のほうにハイフンが入っているパターンは、試すことができました。

biblioではエラーが出ませんでした。

https://www.smbc-card.com/mem/top/index.jsp

(追記)

とりあえず確認だけだったら、あまり条件を狭めず、

ベリサイン証明書でなくても、SSLアクセスできるサイトだったらなんでもいいかもしれません。

2008-09-19

日産のページのSSL証明書期限が切れてると報告したのに、相手にしてもらえない。

https://lab.nissan-carwings.com/CWL/Account.cgi

中間CA証明書?の期限が切れてるっぽくて、

カーウイングス公式ブログ

http://blog.nissan-carwings.com/carwings/2008/06/openid-6de8.html

コメントで連絡してみたりしてみたけど、

対応も返事もなし。

自分が気づいてから半月くらいは期限切れのままほったらかしだよ。。

2008-02-06

http://anond.hatelabo.jp/20080205183943

結局、そうやってその場はしのいだけど、

SSL証明書1個とるのにこんなことしなきゃならないなんてアホだから

ハウジング会社、変えてやるって思った。

2008-02-05

ドメインの登録内容って誰が決めるの?

.netドメインなんだけど、

Registrant Email

Admin Email

Billing Email

Tech Email

が全部ハウジング会社メールアドレスが登録されてて、困った。

グローバルサインでSSL証明書取るときにこれのどれかのアドレスを選択して確認メールを受け取らないといけないから。

Registrantのほうは名前も住所も全部自分の情報が載ってるんだけどEmailだけハウジング会社アドレス

ハウジング会社にRegistrant Emailの内容を自分の情報に変更してくれって頼んだんだけど

セキュリティ的にできない」みたいなわけのわからないことをいわれてしまった。

ドメインの所有者は自分ですよね?って確認したら「そうだ」って言われるし

それなら、変更できるでしょって何度も言ったけどダメだった。

同じ会社に管理頼んでる.co.jp ドメインの登録担当者電子メールはちゃんと自分の情報になってるのに

なんで.netドメインのRegistrant Emailだけ設定変更できないんだろう。。

こういうもん?俺がまちがってる?

2008-02-02

http://anond.hatelabo.jp/20080202012602

初心者が気にしておくべきセキュリティなんてたかが知れているから、それくらい知ればいいのに。

インジェクション対策とセキュリティアップデートくらいはちゃんとやろうね。。 CSRFとかパスワード強度とかSSL証明書とか知らなくていいから。

 
ログイン ユーザー登録
ようこそ ゲスト さん