If you're having trouble accessing Google Search, please click here, or send feedback.
ツイート 以前SSL証明書を取得してnginxの設定を入れたのだけど、 そのままだとセキュリティ的によろしくなさそうなので更新を。 SSLの通信は、ざっくり捉えると下図のようなシーケンスをたどる。 暗号化といっても色々なアルゴリズムがあるので、 サーバとクライアント間で同じアルゴリズムを利用しなければ正しく復号できない。 従って、最初にどのアルゴリズムを利用するかのネゴシエーションがある。 当然ながらこの段階では平文で通信しなければならない。 まず、Client Helloで端末側で対応している暗号スイーツを送る。 (実際のパケットはこんな感じ) 暗号スイーツとは、暗号化のアルゴリズムのことと捉えて貰って問題ない。 サーバ側は、送られてきた暗号スイーツの中から一つを選び、 Server Helloでクライアントに伝える。 この段階でようやく暗号化アルゴリズムが決定するので、 ここから暗号通
SSL 3.0に関する脆弱性について (Padding Oracle On Downgraded Legacy Encryption) ※2014年10月15日の掲載内容の「対応方法(クライアント)」に関する記述に誤りがございました。2014年10月29日に関連箇所の記述を変更しております。ご迷惑をおかけいたしました事を深くお詫び申し上げます。 2014年10月14日に公開されたSSL 3.0に関する脆弱性についてご案内いたします。 POODLE(Padding Oracle On Downgraded Legacy Encryption)と名づけられた当脆弱性を利用した攻撃では、SSL 3.0を有効にしているサーバとの通信においてパスワード等の重要情報やCookie情報が第三者に漏えいする可能性があります。 ※当件は、SSL 3.0プロトコルに存在する脆弱性のご案内であり、SSLサーバ証
技術情報 ※ここでの記事は、筆者が独自に調査、検証したものであり、内容を保証するものではありません。 記事の内容を業務等で利用する場合は自己責任でお願いします。
SSL v3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。 OpenSSL をはじめとする SSL v3 をサポートするソフトウェアが本脆弱性の影響を受ける可能性があります。 [2014年12月11日 - 追記] TLS を実装している製品においても、本脆弱性の影響を受ける場合があることが公開されました。 SSL v3 プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。 ウェブブラウザ等のプログラムの多くでは、上位のプロトコルで通信できない場合にプロトコル
SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ SSL 3.0 に存在する脆弱性、通称 「POODLE」 に関連して、自分が管理している Web サーバ (Apache) の SSL 3.0 を無効にした際の設定方法と、各ブラウザごとに SSL 3.0 を無効にする方法などをまとめています。 2014年 10月 14日 に発表された「Secure Sockets Layer(SSL)」のバージョン 3.0 (SSL 3.0) に存在する脆弱性 (CVE-2014-3566)、通称 「POODLE (Padding Oracle On Downgraded Legacy Encryption)」 ですが、これに関連して、自分で管理している Web サーバ (Apache) の SSL 3.0 を無効にしました。 そ
Googleのセキュリティチームが、SSL 3.0に深刻な脆弱性が存在することを発見、その詳細について発表した(Google Online Security Blog、ITmedia、詳細について解説したPDF)。 この脆弱性は「POODLE」と呼ばれており、悪用するとパスワードやCookieに不正にアクセスできるという。対策としては、SSL 3.0の利用を停止することが挙げられている。 SSL 3.0は1995年に発表された技術であり、Netscape Navigator 2.0において実装されて以来、現在ではほぼすべてのWebブラウザで利用できるようになっている。とはいえ、現在ではより改良が進められたTLSがほとんどのWebブラウザで利用可能であり、SSL 3.0を積極的に利用する理由はない。そのため、ChromeではすでにSSL 3.0のサポートを廃止しており、またMozillaもF
Googleが発見したSSL 3.0の脆弱性「POODLE(プードル)」は、悪用するとパスワードやクッキーにアクセスできてしまいます。問題の「SSL 3.0」は15年前のバージョンです。ただ、現在も多くのWebサイトで使用されており、またWebブラウザの多くでもサポートしています。 Googleは現地時間の10月14日、SSL 3.0の深刻な脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryptionの略)」の発見とその対策についてのアナウンスを行いました。 Googleをはじめ、Microsoft、OpenSSLなどが公式ブログなどでこの問題についての情報を公開しています。 ▶︎Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
id:blooper:20120907 の続きですが、皆様におかれましては既に証明書が好きで好きでたまらなくなって、HTTPS を利用したサイトに行くと証明書の拡張まで読んだ後でなくては証明書の内容が気になってサイトの本文が読めなくなっているかと思いますが如何お過ごしでしょうか。 SSL は Secure Sockets Layer の頭文字で Netscape Communications が 1995 年に、ってのは wikipedia:Secure_Sockets_Layer でも見れば載ってるので見てね。で、RFC にしようってことで SSL は Netscape のでしょ? ってことで TLS (Transport Layer Security) に改名した、と記憶してるんだけど本当だっけな。ハンドシェイク時のレコードのバージョン見ると SSLv3.0 は 3.0 TLSv1.0
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く