セキュリティ
nginxのssl_trusted_certificate(およびssl_client_certificate)は異なるコンテキストから利用されている。 クライアント証明書を検証する際に信頼する証明書は ssl_trusted_certificate で指定されるが、この命令で定義されるtrust storeはOCSP Stapling…
2015年現在、メール配送の終着点(メールボックスサーバー)とエンドユーザーの間は、ほとんどのメールサービスでPOPS・IMAPSあるいはHTTPS上のウェブメールが利用でき、TLSによるセキュアな通信が可能になっています。 一方で、メール配送、すなわちMTA間の…
先日fluentdのサードパーティプラグインの fluent-plugin-secure-forward に言及した件について、更新v0.3.2が公開されています。 http://tagomoris.hatenablog.com/entry/2015/05/28/182245 http://tagomoris.tumblr.com/post/120090873793/vulnerability-a…
CertCraft.netというテスト用x509証明書(いわゆるSSL証明書)と認証局(Certificate Authority)をオンラインで作成するツールを公開しました。 なにこれ? これはTLS Transport Layer Security (旧称SSL)で使われる証明書、いわゆるオレオレ証明書・オレ…
一言で言えば、リバースブルートフォース対策=脆弱なパスワードの禁止。 ブルートフォースとの相違点 『リバースブルートフォース』と呼ばれる攻撃は、多くのユーザーが使っていそうな少数のパスワード辞書と、多数のアカウント名を用いてログイン試行を繰…
昨日は鍵共有を甘く見て爆死したためCentOS+NginxのサーバーをWindows環境に対応させてみる。 RPMに慣れていた都合上、主なサーバーにCentOS6を使っている。 CentOS/RHEL6.4では2013年10月時点で、標準のOpenSSLは1.0.0、Nginxは1.0系が導入される。Nginxに…
Lavabitに関するGeekなページの記事がGPGとSSLの鍵や鍵交換を混同しているようなのでメモ。 SSLとGPGの秘密鍵 LavabitのようなWeb上の暗号化メールシステムでは、二つの全く異なる暗号化機構がある(あった)。 SSLでのサーバー証明用秘密鍵 まず、サーバー…
exim4の実装は、他のSMTPサーバーにSMTP-AUTHでログインする際に、TLSのCommon Nameではなく逆引きドメイン名に対応する認証情報を送ってしまう。 本来フル機能のMTAのexim4が、二つ以上の異なるスマートホストに対する認証情報を持つ、というレアなケースで…
いかにしてパスワード認証を脆弱にするか。プログラミング黎明期からずっとデベロッパーの頭を悩ませ続ける問題です。 ここでは脆弱なパスワード認証を実現するための方法を紹介します。 パスワード自動入力の禁止 不届きなブラウザがパスワードを記憶してし…
先日、久しく寝かせていたレンタルサーバーを使おうと思い、メールアカウントを設定したのだが、SSL通信に失敗した。原因はよくある、中間証明書の設定ミス。POPS/SMTPSサーバーにインストールされた証明書セットが間違っていた。 HTTPSの設定確認はQualys L…