SlideShare a Scribd company logo

エンジニアが知っておくべきSSL/TLSの知識(仮)

Download as PPTX, PDF
Masahiro NAKAYAMA, profile picture
Masahiro NAKAYAMA

エンジニアが知っておくべきSSL/TLSの知識(仮) 発表資料の下書き

Technology
1 of 15
Downloaded 23 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
エンジニアが知っておくべき SSL/TLSの知識 (予稿)
最近のニュースから: GlobalSignの旧ルート証明書の有効期限切れ • RHEA-2014:0104-1 openssl enhancement update https://rhn.redhat.com/errata/RHEA-2014-0104.html • 旧ルート証明書の有効期限切れに伴う影響範囲について https://jp.globalsign.com/support/faq/538.html • RHEL5/CentOS5でGlobalSignのルート証明書が有効期限切れで大騒ぎ http://heartbeats.jp/hbblog/2014/01/rhel5centos5globalsign.html • WebAPIやOpenIDでSSLエラーが起きる現象につきまして http://techblog.yahoo.co.jp/maintenance/4/ • Y!J API が止まった日 - GlobalSign の Root 証明書切れから学んだこと http://oauth.jp/blog/2014/01/30/globalsign-root-cert-expired/
何が起きたのか? 何が問題だったのか? • 起きていたこと • RHEL5(CentOS5)に含まれていたルート証明書が古かった • 2014年1月28日21時で期限が切れた • SSL通信において、証明書の検証が失敗し、通信ができなくなった • 問題だったこと • GlobalSignは以前から2028年1月28日有効期限の新しいルート証明書を 配布していた • RedHatが証明書の更新に気付かず、古いルート証明書の配付を続けた • GlobalSignがその状況に気付いていなかった
さらなる問題: 誤った回避方法の紹介 • 「証明書の検証をやめる」 • 例:curlに-kオプションを付ける • よくある誤解 • 相手の認証ができていなくても暗号化できればいい • データセンタ内のサーバだし盗聴とかされないよ • 一般的に認識されているよりも大きなリスクがあります。
そもそもSSL/TLSとは 簡単なおさらい • 役割 • コネクション型通信(通常はTCP)の上で以下を提供 • PKI(公開鍵基盤)を想定した公開鍵証明書による相互認証 • 通信内容の暗号化・改ざん検出 • 歴史 • 1994年(今から20年前)にNetscape Navigator 1.1にてSSL 2.0登場 • 1995年にNetscape Navigator 2.0にてSSL 3.0登場 • 1999年にSSLの問題を改善してRFC2246 TLS 1.0として規定
暗号化アルゴリズム 共通鍵暗号と公開鍵暗号とハッシュ関数
SSL/TLSが実現していること <認証> • PKI(公開鍵基盤)を想定した公開鍵証明書による相互認証
SSL/TLSが実現していること <鍵交換>
SSL/TLSが実現していること <暗号化> • 共通鍵暗号による暗号化
SSL/TLSが実現していること <改ざん検出> • HMAC(ハッシュ関数によるメッセージ認証コード) • シリアル番号
暗号化と認証の関係 「認証しない」の危険性 • 暗号化技術の本質は「鍵交換」 • たるい
PKI(公開鍵基盤)
認証局証明書ストア 「何」を信頼しているのか
地球人類のパンドラの箱 認証局証明書ストアの配布 • 運用ポリシー • 政府認証基盤(GPKI) • 地方公共団体組織認証基盤(LGPKI) • どこからダウンロードしてきた?
「証明書検証オフ」のリスク 本当はこわいcurl -k

More Related Content

PDF
.htaccessによるリダイレクト徹底解説
Cherry Pie Web
 
PDF
サーバ運用の現場でひたすら監視し続けるエンジニアの手の内のすべて
Masahito Zembutsu
 
PDF
DNS再入門
Takashi Takizawa
 
PDF
いまさら聞けないAWSクラウド - Java Festa 2013
SORACOM, INC
 
PDF
最近のブラウザ状況
yoshikawa_t
 
PDF
初心者向けMySQLの始め方
Masahiro Tomita
 
PDF
SEOに効くコンテンツの作り方 ver1.1
INFOBAHN.inc(株式会社インフォバーン)
 
PDF
LPデザインに関して〜作成のセオリーとコツ〜
典子 松本
 
.htaccessによるリダイレクト徹底解説
Cherry Pie Web
 
サーバ運用の現場でひたすら監視し続けるエンジニアの手の内のすべて
Masahito Zembutsu
 
DNS再入門
Takashi Takizawa
 
いまさら聞けないAWSクラウド - Java Festa 2013
SORACOM, INC
 
最近のブラウザ状況
yoshikawa_t
 
初心者向けMySQLの始め方
Masahiro Tomita
 
SEOに効くコンテンツの作り方 ver1.1
INFOBAHN.inc(株式会社インフォバーン)
 
LPデザインに関して〜作成のセオリーとコツ〜
典子 松本
 

Viewers also liked (19)

KEY
EC-CUBEプラグイン講義
ria1201
 
PDF
コンテンツ作りの三原則
INFOBAHN.inc(株式会社インフォバーン)
 
PDF
スマホデザインパターン なう
Android UI勉強会
 
PDF
Illustratorのカンプとうまく付き合う方法
Takuya Nishitani
 
PDF
WordPress初心者からの脱出! カスタムなんとかをちゃんと理解する
Takashi Uemura
 
PDF
カヤックコピー部のコピー講座
コピーライターはせがわ てつじ
 
PDF
WordPressで作るポートフォリオサイト
Takuma Nishiyama
 
KEY
WordPressプラグイン作成入門
Yuji Nojima
 
PDF
WordPress を使いこなそう
Wataru OKAMOTO
 
PDF
Photoshopで効率よくデザインしよう!
Marie Suenaga
 
PDF
HTML5時代のWebデザイン
masaaki komori
 
PDF
⑯jQueryをおぼえよう!その2
Nishida Kansuke
 
PDF
レスポンシブ・ウェブデザイン基礎
masaaki komori
 
PDF
文系デザイナーでも大丈夫!レスポンシブWEBサイトをWordPressで作ってみよう
Junko Nukaga
 
PDF
「Webデザイナーのためのタイポグラフィと文字組版」
swwwitch inc.
 
PDF
ノンデザイナーのための「デザインの判断」はとりあえずコレだけおさえよう
Sasaki Kouhei
 
PDF
最強オブジェクト指向言語 JavaScript 再入門!
Yuji Nojima
 
PDF
デザイナのためのGit入門
dsuke Takaoka
 
PDF
流行に乗っていいの?フラットデザインの落とし穴
Yuudai Tachibana
 
EC-CUBEプラグイン講義
ria1201
 
コンテンツ作りの三原則
INFOBAHN.inc(株式会社インフォバーン)
 
スマホデザインパターン なう
Android UI勉強会
 
Illustratorのカンプとうまく付き合う方法
Takuya Nishitani
 
WordPress初心者からの脱出! カスタムなんとかをちゃんと理解する
Takashi Uemura
 
カヤックコピー部のコピー講座
コピーライターはせがわ てつじ
 
WordPressで作るポートフォリオサイト
Takuma Nishiyama
 
WordPressプラグイン作成入門
Yuji Nojima
 
WordPress を使いこなそう
Wataru OKAMOTO
 
Photoshopで効率よくデザインしよう!
Marie Suenaga
 
HTML5時代のWebデザイン
masaaki komori
 
⑯jQueryをおぼえよう!その2
Nishida Kansuke
 
レスポンシブ・ウェブデザイン基礎
masaaki komori
 
文系デザイナーでも大丈夫!レスポンシブWEBサイトをWordPressで作ってみよう
Junko Nukaga
 
「Webデザイナーのためのタイポグラフィと文字組版」
swwwitch inc.
 
ノンデザイナーのための「デザインの判断」はとりあえずコレだけおさえよう
Sasaki Kouhei
 
最強オブジェクト指向言語 JavaScript 再入門!
Yuji Nojima
 
デザイナのためのGit入門
dsuke Takaoka
 
流行に乗っていいの?フラットデザインの落とし穴
Yuudai Tachibana
 
Ad

Similar to エンジニアが知っておくべきSSL/TLSの知識(仮) (20)

PDF
SSLの最新トレンド
J-Stream Inc.
 
PDF
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Kenji Urushima
 
PPT
Professional SSL/TLS Reading Chapter 6
Shogo Hayashi
 
PDF
『プロフェッショナルSSL/TLS』読書会3章
MITSUNARI Shigeo
 
PDF
Wp sslandroot certificate
Yoshida Yuri
 
PDF
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
Kenji Urushima
 
PDF
Wb倉敷 ssl説明資料
真琴 平賀
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
 
PPTX
SSL入門
Takeru Ujinawa
 
PDF
Ssl証明書を設定したらapacheが起動しない?
denet1999
 
PPTX
SSLの技術的な仕組みとサイトのSSL化について
ssuserb5e2a0
 
PPTX
【くららカフェ#4】最新SSL動向
CLARA, Inc.
 
PPTX
Professional SSL/TLS Reading Chapter 14
Shogo Hayashi
 
PPTX
AWSを学ぶ上で必要となる前提知識(SSL)
聡 大久保
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
 
PDF
ただしくHTTPSを設定しよう!
IIJ
 
PPTX
勉強会 Vol2【SSL証明書とは】
chimoto
 
PDF
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
 
PDF
プロフェッショナルSSL/TLS 1.2章
MITSUNARI Shigeo
 
PDF
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
Insight Technology, Inc.
 
SSLの最新トレンド
J-Stream Inc.
 
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Kenji Urushima
 
Professional SSL/TLS Reading Chapter 6
Shogo Hayashi
 
『プロフェッショナルSSL/TLS』読書会3章
MITSUNARI Shigeo
 
Wp sslandroot certificate
Yoshida Yuri
 
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
Kenji Urushima
 
Wb倉敷 ssl説明資料
真琴 平賀
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
 
SSL入門
Takeru Ujinawa
 
Ssl証明書を設定したらapacheが起動しない?
denet1999
 
SSLの技術的な仕組みとサイトのSSL化について
ssuserb5e2a0
 
【くららカフェ#4】最新SSL動向
CLARA, Inc.
 
Professional SSL/TLS Reading Chapter 14
Shogo Hayashi
 
AWSを学ぶ上で必要となる前提知識(SSL)
聡 大久保
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
 
ただしくHTTPSを設定しよう!
IIJ
 
勉強会 Vol2【SSL証明書とは】
chimoto
 
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
 
プロフェッショナルSSL/TLS 1.2章
MITSUNARI Shigeo
 
[data security showcase Sapporo 2015] D27:運用担当者のための OpenSSL 入門 by ユーザーサイド株式会社...
Insight Technology, Inc.
 
Ad

More from Masahiro NAKAYAMA (20)

PDF
ハッカソンについて(分散アーキテクチャ時代におけるWebシステムの開発と運用) #seccamp
Masahiro NAKAYAMA
 
PDF
イントロダクション(分散アーキテクチャ時代におけるWebシステムの開発と運用) #seccamp
Masahiro NAKAYAMA
 
PDF
クラウド時代のものづくり(分散アーキテクチャ時代におけるWebシステムの開発と運用) #seccamp
Masahiro NAKAYAMA
 
PDF
めもおきば新刊のお知らせ サーバーレスでHelloWorldする25の方法 #ssmjp
Masahiro NAKAYAMA
 
PDF
クラウド時代における分散Webシステムの構成とスケーリング #seccamp
Masahiro NAKAYAMA
 
PDF
#ServerlessDays Tokyo 2019 「サーバーレス」な同人誌の紹介
Masahiro NAKAYAMA
 
PDF
サーバーレス時代の システム設計ワークショップ
Masahiro NAKAYAMA
 
PDF
#ssmjp 2018/12 技術系同人誌を手に入れよう
Masahiro NAKAYAMA
 
PDF
FaaSのインターフェースに見るサーバーレス #serverlessconf #serverlesstokyo
Masahiro NAKAYAMA
 
PDF
クラウドでハンズオンする話 #ssmjp
Masahiro NAKAYAMA
 
PPTX
SORACOMでデータ上げてクラウドで分析・可視化するハンズオン #SecHack365
Masahiro NAKAYAMA
 
PDF
IoT時代のセキュアなクラウドインフラ構築術 #seccamp
Masahiro NAKAYAMA
 
PDF
Serverless book
Masahiro NAKAYAMA
 
PDF
クラウドではじめるリアルタイムデータ分析 #seccamp
Masahiro NAKAYAMA
 
PPTX
技術系同人誌を書こう #ssmjp
Masahiro NAKAYAMA
 
PDF
「サーバレスの薄い本」からの1年 #serverlesstokyo
Masahiro NAKAYAMA
 
PDF
BluetoothメッシュによるIoTシステムを支えるサーバーレス技術 #serverlesstokyo
Masahiro NAKAYAMA
 
PDF
IoT(Bluetooth mesh) × サーバーレス
Masahiro NAKAYAMA
 
PDF
Serverless Architecture Overview #cdevc
Masahiro NAKAYAMA
 
PDF
細かすぎて伝わらないSORACOM Funnelのオプション紹介 #soracomug
Masahiro NAKAYAMA
 
ハッカソンについて(分散アーキテクチャ時代におけるWebシステムの開発と運用) #seccamp
Masahiro NAKAYAMA
 
イントロダクション(分散アーキテクチャ時代におけるWebシステムの開発と運用) #seccamp
Masahiro NAKAYAMA
 
クラウド時代のものづくり(分散アーキテクチャ時代におけるWebシステムの開発と運用) #seccamp
Masahiro NAKAYAMA
 
めもおきば新刊のお知らせ サーバーレスでHelloWorldする25の方法 #ssmjp
Masahiro NAKAYAMA
 
クラウド時代における分散Webシステムの構成とスケーリング #seccamp
Masahiro NAKAYAMA
 
#ServerlessDays Tokyo 2019 「サーバーレス」な同人誌の紹介
Masahiro NAKAYAMA
 
サーバーレス時代の システム設計ワークショップ
Masahiro NAKAYAMA
 
#ssmjp 2018/12 技術系同人誌を手に入れよう
Masahiro NAKAYAMA
 
FaaSのインターフェースに見るサーバーレス #serverlessconf #serverlesstokyo
Masahiro NAKAYAMA
 
クラウドでハンズオンする話 #ssmjp
Masahiro NAKAYAMA
 
SORACOMでデータ上げてクラウドで分析・可視化するハンズオン #SecHack365
Masahiro NAKAYAMA
 
IoT時代のセキュアなクラウドインフラ構築術 #seccamp
Masahiro NAKAYAMA
 
Serverless book
Masahiro NAKAYAMA
 
クラウドではじめるリアルタイムデータ分析 #seccamp
Masahiro NAKAYAMA
 
技術系同人誌を書こう #ssmjp
Masahiro NAKAYAMA
 
「サーバレスの薄い本」からの1年 #serverlesstokyo
Masahiro NAKAYAMA
 
BluetoothメッシュによるIoTシステムを支えるサーバーレス技術 #serverlesstokyo
Masahiro NAKAYAMA
 
IoT(Bluetooth mesh) × サーバーレス
Masahiro NAKAYAMA
 
Serverless Architecture Overview #cdevc
Masahiro NAKAYAMA
 
細かすぎて伝わらないSORACOM Funnelのオプション紹介 #soracomug
Masahiro NAKAYAMA
 

エンジニアが知っておくべきSSL/TLSの知識(仮)