Amazon Web Services ブログ ラウンド 2 の ポスト量子暗号 TLS が KMS でサポートされました AWS Key Management Service (AWS KMS) が AWS KMS API エンドポイントに接続する際に使われる Transport Layer Security (TLS) 1.2 暗号化プロトコルにおいて新しいハイブリッド型のポスト量子暗号(耐量子暗号)鍵交換アルゴリズムをサポートするようになりました。これらの新しいハイブリッドポスト量子アルゴリズムは、古典的な鍵交換による実証済みのセキュリティと、標準化作業で評価中の新しいポスト量子鍵交換の潜在的な耐量子安全特性を組み合わせたものです。これらのアルゴリズムの中で最も高速なものは、古典的な TLS ハンドシェイクと比較して約 0.3 ミリ秒のオーバーヘッドがあります。追加された新しいポスト
cert-managerとは kubernetesクラスタ上でSSL/TLS証明書をシンプルに扱うためのツールです。 証明書の取得・更新・利用が簡単になります。 公式ドキュメント この記事の内容 この記事では、cert-managerを利用していくにあたり、最低限おさえておきたい「証明書発行・利用の流れ」と、「登場人物」だけを簡単にまとめます。 証明書まわりは分かりづらいし、事故ったら大変なことになるので、あまり触りたくない箇所かもしれませんが、基礎知識を知っておくことで最初の足がかりになると思います。 cert-manager v1.6.1での話をしていきます。 また、Let's EncryptをIssuerとした流れを説明しますので、他のIssuer Typeでは内容が異なる箇所があります。 証明書発行・利用の簡単な流れ まずざっくりとした流れを書いておきます。 実際のインストール方法
Quick Chain Checker Powered by Certify The Web Your web server certificate chain affects how trusted your website certificate is by browsers and devices. To perform a quick check of your servers certificate chain, enter your domain: Check Chain Note: This tool will only show your current chain as our client code sees it and applies some ACME CA (Let's Encrypt etc) related checks. It will not valid
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
Network Load Balancer (NLB) now supports version 1.3 of the Transport Layer Security (TLS) protocol, enabling you to optimize the performance of your backend application servers while helping to keep your workloads secure. TLS 1.3 on NLB works by offloading encryption and decryption of TLS traffic from your application servers to the load balancer, and provides encryption all the way to your targe
「Client-Cert HTTP Header」という提案仕様が、IETF HTTP WGのWGアイテムとして採用されそうなので、予習しておきます。 背景 TLSレイヤでクライアントの証明書を用いてクライアントを認証することができます。この、クライアント認証はもちろんTLSレイヤで行われます。 一方で、Webサービスを提供するとき、ロードバランサでTLSを終端することはよくあります。このとき、クライアント証明書に基づくアクセス制御を、ロードバランサではなくバックエンドのサーバで行いたい場合があります。そのためには、ロードバランサからバックエンドにクライアント証明書の情報を伝達する必要があります。その方法を標準化するのが「Client-Cert HTTP Header」という提案仕様です。 一つのユースケースとしては「RFC 8705 OAuth 2.0 Mutual-TLS Client
mTLS を利用することで、クライアント・サーバー間で強固な認証の仕組みを簡単に導入することができます。 今回は Go で書いたバッチ処理の結果を Cloudflare Workers 経由でデータベースに保存した歳に、 Go から Cloudflare Workers へのアクセス制御に Cloudflare mTLS を採用したので、まとめておきました。 個人的に mTLS (Clouddflare mTLS) を流行らせたいという思いもあります。 Go のコード package main import ( "crypto/tls" "crypto/x509" "io" "log" "net/http" "net/url" "os" "time" ) const ( // mTLS を有効にして保護している URL // クライアント証明書が無い状態でアクセスするとエラーコード 102
TL;DR Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です 実質 MitM をさせる Proxy を作るための話になります TL;DR はじめに 環境構築 0. 事前準備 1. 通信先情報の取得 ドメイン(ホスト名) IPアドレス 2. 自己署名証明書の作成 3. Proxy Listener への組み込み 4. テスト おわりに はじめに マルウェア解析の動的解析環境(Sandbox 環境)を構築する際、TLS/SSL を用いた HTTPS 通信をどのようにして取得して分析可能とするかというのは一つの至上命題です。マルウェアがC2サーバと通信する際に TLS/SSL を使う場合はもちろんそのやりとりの中身を記録したいですし、解析環境検知のためにメジャーなWebサービスに対して HTTPS でダミー通信を発する場合もあ
acme.shで無料SSL証明書を発行する CentOS 6系のサーバーでPythonのバージョンが古く、最新のcertbot を使えなかったのでシェルスクリプトで動作する「acme.sh」でワイルドカード形式の無償SSL証明書を発行しました acme.shをインストール acme.shをダウンロードしてインストールします。インストールは簡単にcurlでダウンロードしてシェルを実行すればインストールできます $ cd /usr/local/src $ curl https://get.acme.sh | sh 一度ステージング環境で実行します。ワイルドカード証明書を発行するのでDNSにTXTレコードの登録が必要ですので、その必要な値が表示されます ステージングで一度実行 .acme.sh/acme.sh --test --dns --yes-I-know-dns-manual-mode-e
Ready to get started? With over 30 supported checks you can view and analyse key website information in an instant Archive History Block List Check Carbon Footprint Cookies DNS Server DNS Records DNSSEC Site Features Firewall Types Get IP Address Headers HSTS HTTP Security Linked Pages Mail Config Open Ports Quality Check Global Rank Redirects Robots.txt Screenshot Security.txt Sitemap Social Tags
Skip to main contentMeasuring and examining TLS 1.3, IPv4, and IPv6 performanceAuthor:Matt HobbsPublished: 30 July 2020Updated: 05 August 2020Tagged:web-performance,gds,ramblings,webperfReading time: 📖📖📖 14 minute read Earlier in the year we enabled Transport Layer Security (TLS) 1.3 on the Fastly point of presence (POPs) for GOV.UK. Fastly have been gradually rolling out a whole set of improve
Paper Q&A The Marvin Attack is a return of a 25 year old vulnerability that allows performing RSA decryption and signing operations as an attacker with the ability to observe only the time of the decryption operation performed with the private key. In 1998, Daniel Bleichenbacher discovered that the error messages given by SSL servers for errors in the PKCS #1 v1.5 padding allowed an adaptive-chose
このページは、Let's Encrypt のチャレンジ方式 (HTTP-01, DNS-01) についてまとめる予定のページです。 HTTP-01 チャレンジ HTTP-01 チャレンジは、あるドメインの SSL 証明書をリクエストしたユーザー (Web サーバー) がそのドメインに対する権限を有しているかを HTTP (80 番ポート) 通信経由で確認・認証する方式です。 Web サーバー上に認証用のファイルを生成し、Let's Encrypt 側からそのファイルに HTTP アクセスすることで認証を行います。 おおまかな動作イメージ HTTP-01 のおおまかな動作イメージ 補足 例えば certbot-auto コマンドでドキュメントルートでないサブディレクトリなどのディレクトリを --webroot -w で指定した場合、チャレンジは失敗します。 DNS-01 チャレンジ DNS-
ブラジルの政府系CAである「ICP-Brasil」の中間CAであるCertisign ( https://certisign.com.br/ )がgoogle.comをSubjectに持つTLS Webserver Authentication証明書を発行していたことがCTのモニタリングによって見つかった件と、ep70で話したLet's EncryptがOCSPやめる件についてサポート終了の正確なタイムラインが出た件について話しました。雑談ではひとけーのノートパソコンが死にそうで音がガビガビな話、2000年の年越しどうだった、2000円札見たことない、よいお年を!などの話をしました。 • Google.com の証明書がICP-Brasil(Autoridade Certificadora Raiz Brasileira v10)によって不正に発行された件 ○ 1934361 - ICP-
Amazon CloudFront now supports Transport Layer Security (TLS) 1.3 session resumption to further improve viewer connection performance. Until now, Amazon CloudFront has supported version 1.3 of the TLS protocol since 2020 to encrypt HTTPS communications between viewers and CloudFront. Customers that adopted the protocol have seen their connection performance improved by up to 30% compared with prev
Eio とは Eio は、OCaml 5.0 から導入された effect handler を用いた非同期処理ライブラリです。つい先日 1.0 がリリースされ、いまアツいです(筆者調べ)。 Eio では既存の Lwt や Async と異なり処理結果が Lwt.t などの型でラップされないため、bind(>>=)や ppx_lwt の let%lwt x = ... のような記法を用いずに(direct style で)コードを書くことができるという特徴があります。例えば単純な例として、5 秒まってから "Hello world!" と出力するようなコードは、Lwt では以下のように >>= を使って書く必要がありますが: open Lwt.Infix Lwt_main.run ( Lwt_unix.sleep 5.0 >>= fun () -> Lwt_io.printf "Hello
エラー内容 TLS 1.2 の通信設定を許可する Powershellにて、V2モジュールのインストールができない場合やExchangeOnlineに接続できない場合など、TLS1.2が有効化されていないことで発生する事例を確認しています。 エラーの一例としては、以下の内容を確認してます。 エラー内容 SSL 接続を確立できません。 リモート ホスト上のサービスが HTTPS要求をリッスンするように適切に構成されていることを確認してください。 そのため、今回は、TLS1.2を有効化する方法をご紹介したいと思いますので、切り分けとしてお試しいただけますと幸いです。 なお、現在の PowerShell セッション内でのみ [TLS 1.2] を有効化するもので、OS の設定が恒久的に変更されるものではありません。 TLS 1.2 の通信設定を許可する Windows PowerShell を管
弊社では(既製の製品ではなく)独自開発したWebアプリスキャナを使用しており、品質や作業効率の向上のため、そのツールを毎年少しずつ改善させています(開発には主に筆者があたっています)。 本記事では、今年(2020年)の4~6月に開発した「XSSのトドメを刺す」機能について簡単に紹介します。 機能の概要 XSSの「トドメを刺す」というのは、ちゃんとJavaScriptが動作しそうな値を自動で生成して送り、それが本当に動きそうかを自動で確認することを指しています。 トドメ機能が実現する前は、記号等が含まれる値を送信し、それが反射する箇所の文脈(コンテキスト)の情報と、出力に施されるエンコードやフィルタの情報だけをもって脆弱性の有無を判断していました。例えば、通常の要素内容テキストにパラメータの値が反射するケースで言えば、基本的にツールが確認するのは「<」が反射するか否かまでで、実際に有意なタグ
Networking & Content Delivery Amazon CloudFront Announces Cache and Origin Request Policies Amazon CloudFront’s new Cache and Origin Request Policies give you more control over the way CloudFront uses request data to influence both the cache key and the request that is forwarded to the origin on a cache miss. This gives you more flexibility while enabling better control and efficiency of the cachi
TLS(Transport Layer Security)を理解する上でハンドシェイクと並んで重要なのが暗号スイートに関する知識だ。暗号スイートとは、TLSで使用する暗号アルゴリズムのセットである。 TLSでは役割の異なる複数の暗号アルゴリズムを使用する。それぞれの役割の暗号アルゴリズムを単独で指定するのではなく、あらかじめ用意された暗号アルゴリズムのセット、すなわち暗号スイートを指定する。暗号スイートによって通信の安全性が変わってくるので、その選択は重要になる。 TLS 1.3では構成がシンプルに ハンドシェイクと同様に、暗号スイートもTLS 1.3で大きく変わった。まず、暗号スイートの構成がシンプルになった。 TLS 1.2までは、「鍵交換」「署名」「暗号化」「ハッシュ」の4種類を指定する。 鍵交換はデータを暗号化するための鍵を、送信者と受信者の間で安全に共有するためのアルゴリズムであ
みなさん、どうやって nginx.conf を書いてますか。 私は DigitalOcean のジェネレーターを使う方法が最も好きです。 さてここで、TLS関係の設定が多数生成されますよね。でも、それぞれ何を設定しているのでしょうか? http { # SSL ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; # Diffie-Hellman parameter for DHE ciphersuites ssl_dhparam /etc/nginx/dhparam.pem; # Mozilla Intermediate configuration ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
The DFIR Report Real Intrusions by Real Attackers, The Truth Behind the Intrusion Our previous report on Cobalt Strike focused on the most frequently used capabilities that we had observed. In this report, we will focus on the network traffic it produced, and provide some easy wins defenders can be on the look out for to detect beaconing activity. We cover topics such as domain fronting, SOCKS pro
This post is a basic introduction to running HTTPS servers and clients in Go using TLS. It assumes some familiarity with public-key crypto. Feel free to check out my earlier posts about RSA and the Diffie-Hellman Key Exchange; TLS uses the elliptic-curve version of Diffie-Hellman. I won't be covering how the protocol itself works in detail here, but if you're interested I recommend to read up on t
Introducing Anchor 🎉Public and private certificates, without all the challenges Manage public and private certificates with complete insight across environments, built with the trusted ACME standard.Get free, instant access to private certificate management and join the wait list for public certificate management. What does Anchor do? 🤨A challenge free ACME experienceSimplify certificate validat
こんにちは、コンサル部@大阪オフィスのTodaです。 Webサイトを公開するときに常時SSLで掲載することが標準となってきていますが、導入をして放置しておくと障害や脆弱性が発生していることがあります。定期的に確認するのが良いと考えておりますので、確認を促すため記事でご紹介します。 そもそもSSLとは? SSL(Secure Sockets Layer)は暗号化通信プロトコルの1つで、 インターネット接続をしたブラウザとサーバ間の通信を暗号化して悪意のある第三者に盗聴、改ざんを防ぐ機能になります。 最近の動向 主要ブラウザの開発元が2020年前半にかけてTLS 1.0/1.1を無効化すると発表がありました。無効化が行われるとTLS 1.0/1.1を利用しているサイトで警告の表示や、表示できない問題が発生しますので事前に準備が必要です。 ※新型コロナウイルス感染症の影響でスケジュールに変更があ
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Proxy によりHTTPリクエストがどのように変わるかの解説記事を書きました。 また iOS のHTTP通信ライブラリの Proxy 対応状況についても調べています。 こうしたライブラリを使ったアプリであれば、WiFi接続からProxy設定をすれば自動でそれを参照し、BurpなどでHTTP(S)通信を見ることができます。 そうではなく、WiFi の Proxy 設定を参照しなかったり、そもそも Proxy に未対応の場合はどうすれば良いでしょうか? Burp の場合 Invisible Proxy (別名: 透過型Proxy) 機能があり、これを使うと Proxy 未対応の通信でもBurpを通すことが可能になります。 本記事では PortSwigger 社の
QUICやTLS通信のデバッグを行うために、TLS実装が通信に用いたシークレットをファイルに出力することがあります。多くの実装は SSLKEYLOGFILE という形式で出力することが一般的になっています。このファイルをWiresharkなどに食べさせることで該当通信の復号が行なえます。 たとえば、QUICは以前書いた手順で復号できます。 asnokaze.hatenablog.com SSLKEYLOGFILE のファイル形式は、NSSのドキュメント(URL)で見ることが出来ますが ちゃんと SSLKEYLOGFILE を仕様化するために「The SSLKEYLOGFILE Format for TLS」という提案がIETFに提出されています。 SSLKEYLOGFILEの中身 例えば OpenSSLでSSLKEYLOGFILE を出力すると次のとおりになる # SSL/TLS secr
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はじめに tcpdump や Proxy を使わずに Wireshark だけで TLS 通信の復号に成功しました。たくさんの人が同じようなことをやっていますが、自分用メモとして残しておきます。OS は Windows10 、ブラウザは Chrome です。 設定手順 TLS で暗号化する際に生成した鍵情報をファイルに出力する Windowsキー + R で「ファイル名を指定して実行」画面を出し、「control」と入力して「OK」を押します。 「システムとセキュリティ」をクリックします。 「システム」をクリックします。 「システムの詳細設定」をクリックします。 「詳細設定」タブ → 「環境変数」をクリックします。 「システム環境変数」の「新規」をクリックします。 以下のように入力します。 変数名 SSLKEYLOGFILE 変数値 C:\temp\tls.keys 変数値は存在するパスな
12 Sep 2022 Planning Go 1.20 Cryptography Work As you might know, I left Google in spring to try and make the concept of a professional Open Source maintainer a thing. I'm staying on as a maintainer of the Go cryptography standard library, and I am going to seek funding from companies that rely on it, want to ensure its security and reliability, and would like to get a direct line to the maintaine
この記事はGo Advent Calendar 2024 20日目の記事です。 来年2月にリリース予定のGo 1.24で、新しい crypto パッケージ crypto/mlkem がサポートされる予定です。 cryptoに新しいパッケージが追加されるのはGo 1.20の crypto/ecdh 以来になります。(proposal) crypto/mlkem の提案の背景を追っていくと、Goのポスト量子暗号(耐量子計算機暗号とも呼ばれる)サポートのロードマップを見つけたので、その内容を紹介します。 概要 ポスト量子暗号は量子コンピュータによる攻撃に対しても安全性を保つことを目的とした暗号アルゴリズムの総称 暗号業界全体でポスト量子暗号への移行が推進されており、Go のセキュリティチームは、できるだけ早くポスト量子鍵交換をGo標準で実現することが重要だと考えている ML-KEM (FIPS
以前SNIや検閲について以下の記事を書きました。 この記事はその続編としてEncrypted Client Hello (ECH)の現状と展望を整理します。何か誤りがあれば教えてもらえると非常にうれしいです。 ESNIからECHへ 以前の記事では韓国政府によりESNIがブロッキングされたことを紹介していましたが、その後に中国政府からもESNIがブロックされました。これによりESNIの標準化が事実上中止され、その後ECHの標準化作業が開始されました。 ESNIの問題点はESNIを利用していることが検閲側から分かってしまうことでした。そこでClientHello全体を暗号化し、既存のClientHello (Outer)にダミー拡張を加え、真のClientHello (Inner)を暗号化して送信する仕様に進化しました。 ブラウザ側はencrypted_client_hello拡張を常に付与す
先日、Microsoft.Data.SqlClient 5.0 がリリースされました。 Released: General Availability of Microsoft.Data.SqlClient 5.0 新機能については、次の情報からも確認することができます。 Microsoft.Data.SqlClient 5.0.0 released 5 August 2022 Microsoft.Data.SqlClient 名前空間の概要 4.0 の破壊的変更に含まれるのですが、4.0 以降は接続文字列の「Encrypt」が「true」に設定されることがデフォルトとなりました。 Encrypt 接続文字列プロパティが既定で true になるように変更しました。 #1210詳細を読む これにより、オンプレミスの SQL Server のような環境では、4.0 より前と同一の接続文字列で接続
IETFのTLS WGでは、Googleの方らによって提案されている『TLS Trust Anchor Negotiation』という仕組みが議論されています。 これは、クライアントとサーバ側で共に信頼できるCA(トラストアンカー)をネゴシエーションし、複数あるサーバ証明書から適切なものを提供できるようにする仕組みです。 (引用: IETF 120 スライド PDF より) 具体的な提案仕様よりも、explainer を読むのが分かりやすい。自分用に軽く目を通しておく https://github.com/davidben/tls-trust-expressions/blob/main/explainer.md 目次 背景 目標 実現案 Trust Expressions Trust Anchor Identifiers 背景 現状、クライアントがどのCAを信頼しているか伝えず、サーバ側は
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く