TechCrunch Daily News Every weekday and Sunday, you can get the best of TechCrunch’s coverage. Startups Weekly Startups are the core of TechCrunch, so get our best coverage delivered weekly.
SSL 3.0 の脆弱性 (POODLE) の件で、10月に下記の記事を書いたんですが、その中でも触れた、各主要ブラウザにおける SSL 3.0 無効化タイミングだけ、わかりやすいように抜き出してこちらにまとめておこうと思います。メモ代わり。 SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ Internet Explorer SSL 3.0 が無効になる時期: 正式な時期は不明だが、数ヶ月以内 米国時間の 2015年 4月 14日以降、デフォルトで無効に。 「マイクロソフト セキュリティ アドバイザリ 3009008」 内では、下記の通り、(10月 15日から起算して) 数ヶ月以内に IE の既存設定 (および同社のオンラインサービス) で SSL 3.0 が無効になる旨がアナウンスされています。 マイクロソフト
Automated configuration analysis for Mozilla's TLS guidelines Last week, we updated Mozilla's Server Side TLS guidelines to add a third recommended configurations. Each configuration maps to a target compatibility level: Old supports Windows XP pre-SP2 with IE6 and IE7. Those clients do not support AES ciphers, and for them we need to maintain a configuration that accepts 3DES, SSLv3 and SHA-1 cer
The ordering of cipher suites in the Old configuration is very important, as it determines the priority with which algorithms are selected. OpenSSL will ignore cipher suites it doesn't understand, so always use the full set of cipher suites below, in their recommended order. The use of the Old configuration with modern versions of OpenSSL may require custom builds with support for deprecated ciphe
表を見ていただければわかる通り、Microsoft WindowsのSHA1移行ポリシに比べて、Chromeはかなりアグレッシブな設定になっており、開発版は2014年9月26日のアップデートから、安定版は2014年11月頃リリースの39から正常なHTTPS接続でないかのようなステータス表示となってしまいます。 今回のChromeのSHA1対応ポリシの問題点 今回のGoogle ChromeのSHA1証明書に対する対応計画は様々な問題があると考えていて、論点を整理したいと思います。 最も重要だと思うのが、ブラウザ毎にHTTPSのエラーや問題に対する表示の意味が異なってしまうという点です。今回のSHA1証明書の表示の計画がブラウザベンダー毎に異なるのはユーザが混乱することになり、良くなかったと思います。本来ならCA Browser ForumのBaseline Profileなどで、業界で意思
米Googleなどの研究者が、マルウェアや不正なSSL証明書などのセキュリティ警告に対するユーザーの反応を調べた。 Webブラウザが表示するマルウェアや不正なSSL証明書に関するセキュリティ警告はどの程度効果があるのか――。米カリフォルニア大学バークリー校とGoogleの研究者が、ユーザーの反応の実態について調べた結果を発表した。 この調査では、2013年5月から6月にかけてMozilla FirefoxとGoogle Chromeで表示された約2500万件の警告について反応を調べた。 その結果、ユーザーがマルウェア警告やフィッシング詐欺警告を無視してリンクをクリックしてしまう割合は9~23%にとどまった。不正なSSL証明書についての警告が無視される割合は、Firefoxでは33%だった。 この結果から研究チームは、「Webブラウザのセキュリティ警告が大半のユーザーを守る役割を果たしている
'CRIME' Attack Abuses SSL/TLS Data Compression Feature to Hijack HTTPS Sessions SSL/TLS data compression leaks information that can be used to decrypt HTTPS session cookies, researchers say The 'CRIME' attack announced last week exploits the data compression scheme used by the TLS (Transport Layer Security) and SPDY protocols to decrypt user authentication cookies from HTTPS (HTTP Secure) traffic,
2012.9.14 ietf-http-wgへのポスト SPDY compression and CRIME attack from Mike Belshe on 2012-09-14 (ietf-http-wg@w3.org from July to September 2012) 2011年にSSL/TSLの脆弱性を突いた攻撃ツールをリリースしたJuliano RizzoとThai Duongのコンビ セッションハイジャックツールBEAST TLS1.0/SSL3.0で採用されてるAESを使ったcipher suiteの脆弱性を突く BEASTリリースの反響。TLS1.2へのアップグレード。cipher suiteはRC4へ移行、などなど RizzoとDuongのコンビが新作ツールCRIMEをリリース Buenos Aires開催予定のEkoparty security confere
2012/02/09 日本ベリサインは2月8日、「認証局の安全性とSSLサーバ証明書の暗号強度」というテーマで記者向け説明会を開催し、電子証明書を発行する認証局を取り巻く最近の動向について説明した。 2011年は、電子証明書の発行を業とするComodoやDigiNotarといった企業が不正アクセスを受けるという事件が発生した。認証局(CA)は、証明書の発行を受ける企業の身元を審査する登録局(RA)と、実際の発行業務を行う発行局(IA)から構成されるが、Comodoの場合は業務を委託していたRAが、DigiNotarのケースではIAがそれぞれ不正アクセスを許し、偽造証明書を発行されるという事態に陥った。 この結果、「電子証明書」や「SSL」という仕組みに対する不審感を抱いたユーザーもあった。しかし、日本ベリサイン SSL製品本部 プロダクトマーケティングチーム アシスタントマネージャの上杉謙
"google.com"などの500以上のSSL証明書を不正発行されたという事件を起こしたオランダの認証局DigiNotarが、9月19日に自己破産を申請して、裁判所によって破産宣告されたと、親会社のVASCO Data Security International, Incから発表がありました。 認証局としての信頼を失い、各種ブラウザからDgiNotarの認証局ごと削除されたので、復活するのは難しかったのかもしれませんね。 news_VASCO Announces Bankruptcy Filing by DigiNotar B.V. 会社がなくなったとしても、発行された不正な証明書の影響は当分残りそうですね。PCのブラウザはアップデートで対応していますが、携帯やAndroid端末などは更新されないものも多そうです。 そして同じような事件があったComodoは大丈夫かな?GlobalSi
今回は、セキュリティ関連ブログで紹介・解説された、最近目立つ攻撃に関する話題をいくつか紹介する。 まずロシアのカスペルスキーラボが、自社で運営するセキュリティ関連情報サイト「Securelist」で公開した内容について。一連のターゲット型攻撃について触れ、セキュリティ意識の向上を呼びかけた。 ソニーのゲーム機「PlayStation」向けのネットワークや米シティバンクのサイトが不正侵入を受けて顧客情報が流出し、米グーグルのWebメールサービス「Gmail」のアカウントが不正にアクセスされ、さらには米上院、そして国際通貨基金(IMF)がサイバー攻撃の標的にされた。 10年以上前にニュースを賑わせた「I love you」「Netsky」「Bagel」などのマルウエアは、現在とは全く動機が異なり、できるだけ多くのユーザーに感染し、悪名をとどろかせることが目的だった。 近頃の攻撃を見ると、犯人は
2011/04/12 SSLにDNSSECを導入することの批判 コモド事件などからSSLの信頼が揺らいでいる。そこで、IETFではDNSSECを導入して、SSL証明書の信頼を確認しようとする動きがある(DANE WG)。そんな中、セキュリティ研究者のMoxie Marlinspike氏がブログに「SSL And The Future Of Authenticity」と題するエッセイで、現在のCAシステムには問題があることを認めつつ、DNSSECを使うことを強く警告している[slashdot]。DNSもCAも同じような階層的な信用システムを使っている以上、CAシステムと何ら変わりない。DNSSECの場合は3つの階層クラスを無条件に信用しなければならない。レジストラ: GoDaddyのようなレジストラは果たして信用できるか? TLD: .comの場合はCAシステムでも登場するVeriSignで
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
ソフトバンクの公式ホームページです。スマートフォン・携帯電話の「お知らせ」をご紹介します。
暗号アルゴリズムの2010年問題とは、NIST(米国商務省国立標準研究所)が米国政府の標準暗号技術をより安全なものへと移行させてい く方針を提示していくことから生じる問題を指す。この問題でもっとも影響が大きいのは、電子証明書だ。 SHA-1、1024 ビット鍵長のRSA 公開鍵暗号は危ない 日進月歩で技術が進歩しているコンピューターの世界では、最新技術がいち早く陳腐化してしまうことも多い。その代表が、データの秘匿性を確保する暗号の技術だ。 1980年代、武器として扱われていた暗号は、いまではインターネットの安全性を支える基盤技術としてさまざまな製品やサービスに組み込まれるまでになった。こうした暗号は、ISO(国際標準化機構)やIETF(Internet Engineering Task Force)などでの標準化も行なわれている。しかし、現実面で大きな影響力を持つのが、米国政府の情報システ
Firefox web browser - Faster, more secure & customizable Firefox 4開発版にHTTP Strict Transport Security (HSTS)の機能が実装された。HSTSはすでにChromeでは実装されていたセキュリティ機能。Firefox 4でデフォルトの機能として動作するようになる見通し。 Chromeが実現する5つの新しいセキュリティ機能 HSTSが実際にどういったように機能するのかがFirefox 4: HTTP Strict Transport Security (force HTTPS) ? Mozilla Hacksでわかりやすく紹介されている。http://とhttps://の双方の通信を提供している場合、サイト運用者はより安全な通信を実現するために、http://へのアクセスはhttps://へ転送し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く