- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2024-03-28T18:40:58+09:00","default:irrp","irrp")
#author("2024-04-22T09:54:42+09:00","default:irrp","irrp")
→Web技術関連
→[[暗号化]]
→[[SSL-VPN]]
#contents
*一般 [#vb830a42]
-[[Web アプリケーション向け AWS サービスの TLS サポート状況を整理してみた(2024年4月時点) | DevelopersIO>https://dev.classmethod.jp/articles/app-runner-amplify-hosting-tls-version/]] 2024.4
-[[DNSでHTTPS ※ただしDNS over HTTPSではない - Speaker Deck>https://speakerdeck.com/iij_pr/dnsdehttps-star-tadasidns-over-httpsdehanai]] 2024.2
-[[HTTPSレコードがRFCになりました | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/23963]] 2024.2
-[[Free Wi-Fi(00000JAPAN)は安全なのか? #Security - Qiita>https://qiita.com/ngkwtys/items/3756edcd690d5b6221cb]] 2024.1
-[[HTTPSは安全なのか? #Wi-Fi - Qiita>https://qiita.com/uturned0/items/1b1fd8f35d266a810344]] 2024.1
-[[SSL/TLS 証明書を今すぐローテーションしましょう – Amazon RDS と Amazon Aurora については 2024 年に期限切れになります | Amazon Web Services ブログ>https://aws.amazon.com/jp/blogs/news/rotate-your-ssl-tls-certificates-now-amazon-rds-and-amazon-aurora-expire-in-2024/]] 2023.10
-[[話題の「Telnet」電子公告、「平文やんけ」という指摘に応えて「over SSL」版を追加 - やじうまの杜 - 窓の杜>https://forest.watch.impress.co.jp/docs/serial/yajiuma/1529292.html]] 2023.9
-[[Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧 | TECH+(テックプラス)>https://news.mynavi.jp/techplus/article/20230803-2740735/]] 2023.8
-[[パケットキャプチャで理解する TLS1.3>https://zenn.dev/arailly/books/41061020f0cfaa]] 2023.7
-[[【OSI 参照モデル レイヤ5 セッション層】SSL/TLS とは | ほげほげテクノロジー>https://hogetech.info/network/osi/layer5]] 2023.3
-[[HTTPS通信時のURLは暗号化されるか - うまいぼうぶろぐ>https://hogem.hatenablog.com/entry/20100307/1267977441]] 2018
--HTTPS通信中のURL情報は暗号化される
--盗聴されてもURLはばれない
--web serverのログにはURLは復号されて記録される
--ログを残すかは設定次第
-[[スマートフォンアプリケーションにおけるサーバ証明書検証不備の検証方法 - ラック・セキュリティごった煮ブログ>https://devblog.lac.co.jp/entry/20230213]] 2023.2
-[[その証明書、安全ですか? | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/17668#%e8%a8%bc%e6%98%8e%e6%9b%b8%e3%81%ae%e7%99%ba%e8%a1%8c%e6%89%8b%e7%b6%9a%e3%81%8d%e3%81%ae%e5%ae%89%e5%85%a8%e6%80%a7]] 2023.1
-[[証明書って何だっけ? 〜AWSの中間CA移行に備える〜 - Speaker Deck>https://speakerdeck.com/minorun365/zheng-ming-shu-tutehe-datuke-awsnozhong-jian-cayi-xing-nibei-eru]] 2023.1
-[[HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/14820]] 2022.9
-[[SSL証明書を要求するためにterraformを使用する | DevelopersIO>https://dev.classmethod.jp/articles/use-terraform-to-request-ssl-certificates/]] 2022.7
-[[httpをhttps(常時SSL)にする方法!|サイバーセキュリティ.com>https://cybersecurity-jp.com/column/68290]] 2022.6
-[[testssl.shでサーバーが対応しているSSL/TLSプロトコル、暗号化アルゴリズムなどを確認する - CLOVER🍀>https://kazuhira-r.hatenablog.com/entry/2022/06/14/020438]] 2022.6
-[[独自 CA で発行したサーバ証明書を使用して API Gateway の mTLS を設定してみた | DevelopersIO>https://dev.classmethod.jp/articles/api-gateway-mtls-using-an-imported-certificate/]] 2022.6
-[[チュートリアル: Amazon Linux 2 に SSL/TLS を設定する>https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html]]
-[[SSL Server Test>https://www.ssllabs.com/ssltest/index.html]]
--入力したサーバのSSL設定を確認してくれる
-[[WiresharkでSSL通信の中身を覗いてみる>http://d.hatena.ne.jp/ozuma/20140413/1397397632]] 2014.4.13
-[[ httpsだからというだけで安全?調べたら怖くなってきたSSLの話!?>http://qiita.com/kuni-nakaji/items/5118b23bf2ea44fed96e]] 2014.3.17
-[[How does SSL work?>http://security.stackexchange.com/questions/20803/how-does-ssl-work/20833]] 2012.9.29
-[[HTTPSコネクションの最初の数ミリ秒>http://www.infoq.com/jp/articles/HTTPS-Connection-Jeff-Moser]]
-[[MD5コリジョンでインチキ認証局はつくれる>http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/]]
-[[CSR(署名請求)の作り方>http://code.nanigac.com/source/view/318]]
--[[CSR(Certificate Signing Request)の説明>http://jp.globalsign.com/support/index.php?action=artikel&cat=8&id=65&artlang=ja&highlight=CSR?id=ad_csr&gclid=CKrczPX_vY4CFSiaYAodzmilmw]]
-[[ベリサイン サーバID製品価格一覧>http://www.verisign.co.jp/server/chart.html]]
-[[サーバID概要>http://www.verisign.co.jp/server/first/serverid.html]]
--セキュア・サーバIDとグローバル・サーバIDの違いは、暗号強度
--セキュア・サーバIDは、世界でもっとも多く利用されているサーバ証明書です。
--グローバル・サーバIDは、より高度な暗号化を実現するサーバIDとして、金融機関やオンラインショップなどで利用されています。
-[[SSL@IT:http://www.atmarkit.co.jp/channel/ssl/ssl.html]]
-[[SSLとTSL@IT:http://www.atmarkit.co.jp/fnetwork/rensai/cell03/ssl1.html]]
*EC2のhttps化 [#odb89cd6]
-[[ドメイン移行に伴う、ALBに複数のドメイン証明書を付与するやり方>https://zenn.dev/techtrain_blog/articles/721730d57cb799]] 2024.1
-[[AWS Certificate Manager(SSL/TLS 証明書のプロビジョン、管理、およびデプロイ)| AWS>https://aws.amazon.com/jp/certificate-manager/]] 2024.1
-[[Amazon Linux 2023 での SSL/TLS の設定 - Amazon Elastic Compute Cloud>https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2023.html]] 2024.1
-[[Amazon Linux 2 での SSL/TLS の設定 - Amazon Elastic Compute Cloud>https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html]] 2023.12
-[[AWS EC2上のアプリのhttpリクエストをhttpsにした【初学者】 - Qiita>https://qiita.com/seshiruff4214/items/d72b56c5c08ba7a455f8]] 2022.9
-[[チュートリアル: Amazon Linux 2 に SSL/TLS を設定する - Amazon Elastic Compute Cloud>https://docs.aws.amazon.com/ja_jp/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html]] 2021
-[[AWSでhttps化 #AWS - Qiita>https://qiita.com/e_tyubo/items/e6d53b3b32a5eae3837d]] 2019
-[[AWSでWebサイトをHTTPS化 全パターンを整理してみました – ナレコムAWSレシピ | AIに強い情報サイト>https://recipe.kc-cloud.jp/archives/11067/]] 2018
*SSL証明書 [#q365f0b9]
-[[certbotでSSL証明書を発行するまで #Apache - Qiita>https://qiita.com/erukku/items/b9c20f3163ad4abb2904]] 2024.1
-[[Let’s Encrypt の証明書の更新を自動化する手順 (cron) |>https://weblabo.oscasierra.net/letsencrypt-renew-cron/]] 2024.1
-[[Oracle Cloud(OCI) 証明書サービスでWebサイトをHTTPS対応してみる - Qiita>https://qiita.com/Skogkatter112/items/da7847861c203fdab8ee]] 2022.3
-[[自己署名証明書(CA 含む)を簡単に作成する方法 - Qiita>https://qiita.com/Tomohiro/items/389da6ee4a93a5aa4334]] 2018
--Minica is a simple CA intended for use in situations where the CA operator also operates each host where a certificate will be used.
-[[知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) | DevelopersIO>https://dev.classmethod.jp/articles/how-to-disable-certificate-transparency-with-aws-certificate-manager/]] 2021.12
-[[ネコでもわかる!さくらのVPS講座 〜第六回「無料SSL証明書 Let’s Encryptを導入しよう」>https://knowledge.sakura.ad.jp/10534/]] 2017
-[[AWSでSSL化する方法を伝授!!!>https://qiita.com/nakanishi03/items/3a514026acc7abe25977]] 2019.10
--AWSでSSL証明書は無料で取得できる
-[[SSL証明書を取得してHTTPS化する設定方法>https://allabout.co.jp/gm/gc/464365/]] 2019.6
-[[無料のSSL証明書StartSSLを活用する>http://qiita.com/k-shogo/items/870b6d3939dd08da2de4]] 2013.10.31
-[[個人利用なら SSL 証明書が無料で利用できるらしい>http://fnya.cocolog-nifty.com/blog/2012/03/ssl-6f3f.html]] 2012.3.18
--http://www.startcom.org/
-[[知っておきたいSSLサーバ証明書の取得まで>http://blog.livedoor.jp/ld_directors/archives/51085702.html]]
-http://sslreview.jp/
--http://sslreview.jp/faq.html
--[[SSL証明書 比較サイト>http://sslreview.jp/content/table/index.html]]
* オレオレ証明書 [#t956b782]
-[[PKIよくある勘違い「オレオレ証明書でもSSLは正常に機能する」:http://takagi-hiromitsu.jp/diary/20050123.html#p01]]
-[[オレオレ証明書をselfsslで作る>http://www.atmarkit.co.jp/fwin2k/win2ktips/914selfssl6/selfssl6.html]]
-[[オレオレ証明書:http://d.hatena.ne.jp/keyword/%A5%AA%A5%EC%A5%AA%A5%EC%BE%DA%CC%C0%BD%F1]]
--信頼できる認証機関の署名を得ていない暗号鍵使って暗号化通信をしようとすること
--[[NTT西日本のケース@slash.dot:http://slashdot.jp/security/article.pl?sid=05/10/23/0122229]]
-[[なぜSSL利用をケチるのか>http://itpro.nikkeibp.co.jp/article/OPINION/20051122/224983/]]
-[[テスト用SSLサーバ構築>http://www.microsoft.com/japan/msdn/security/iis-ssl/iis-ssl.aspx]]
* OpenSSL [#ob520164]
-[[OpenSSLのコマンドでお手軽ファイル暗号化 #OpenSSL - Qiita>https://qiita.com/ssc-ynakamura/items/09469c765c55dd5d71f8]] 2024.3
OpenSSL is a cryptography toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer
Security (TLS v1) network protocols and related cryptography standards required by them.
The openssl program is a command line tool for using the various cryptography functions of OpenSSL's crypto
library from the shell. It can be used for
o Creation and management of private keys, public keys and parameters
o Public key cryptographic operations
o Creation of X.509 certificates, CSRs and CRLs
o Calculation of Message Digests
o Encryption and Decryption with Ciphers
o SSL/TLS Client and Server Tests
o Handling of S/MIME signed or encrypted mail
o Time Stamp requests, generation and verification
-[[encryption - Extract public Certificate from SMIME Message (pkcs7-signature) with OpenSSL - Stack Overflow>https://stackoverflow.com/questions/5678124/extract-public-certificate-from-smime-message-pkcs7-signature-with-openssl]] 2011
--SMIMEのメールについてくる署名の情報(smime.p7s)を見るには
openssl pkcs7 -in smime.p7s -inform DER -print_certs
-[[Opensslの各種確認コマンド - Qiita>https://qiita.com/tyanakaz/items/c0fb90ed0e03c097e00b]] 2018
-OpenSSLのヘルプテキスト
OpenSSL> help
Standard commands
asn1parse ca ciphers cms
crl crl2pkcs7 dgst dhparam
dsa dsaparam ec ecparam
enc engine errstr gendsa
genpkey genrsa help list
nseq ocsp passwd pkcs12
pkcs7 pkcs8 pkey pkeyparam
pkeyutl prime rand rehash
req rsa rsautl s_client
s_server s_time sess_id smime
speed spkac srp storeutl
ts verify version x509
Message Digest commands (see the `dgst' command for more details)
blake2b512 blake2s256 gost md4
md5 rmd160 sha1 sha224
sha256 sha3-224 sha3-256 sha3-384
sha3-512 sha384 sha512 sha512-224
sha512-256 shake128 shake256 sm3
Cipher commands (see the `enc' command for more details)
aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb
aes-256-cbc aes-256-ecb aria-128-cbc aria-128-cfb
aria-128-cfb1 aria-128-cfb8 aria-128-ctr aria-128-ecb
aria-128-ofb aria-192-cbc aria-192-cfb aria-192-cfb1
aria-192-cfb8 aria-192-ctr aria-192-ecb aria-192-ofb
aria-256-cbc aria-256-cfb aria-256-cfb1 aria-256-cfb8
aria-256-ctr aria-256-ecb aria-256-ofb base64
bf bf-cbc bf-cfb bf-ecb
bf-ofb camellia-128-cbc camellia-128-ecb camellia-192-cbc
camellia-192-ecb camellia-256-cbc camellia-256-ecb cast
cast-cbc cast5-cbc cast5-cfb cast5-ecb
cast5-ofb des des-cbc des-cfb
des-ecb des-ede des-ede-cbc des-ede-cfb
des-ede-ofb des-ede3 des-ede3-cbc des-ede3-cfb
des-ede3-ofb des-ofb des3 desx
rc2 rc2-40-cbc rc2-64-cbc rc2-cbc
rc2-cfb rc2-ecb rc2-ofb rc4
rc4-40 seed seed-cbc seed-cfb
seed-ecb seed-ofb sm4-cbc sm4-cfb
sm4-ctr sm4-ecb sm4-ofb
* 証明書の仕様 [#qea82a86]
-[[PKCS7形式と拡張子。サーバ証明書で使われるPKCS#7形式とは? | 世界一わかりやすいセキュリティ>https://security.data-site.info/35.html]] 2014
--PKCS(Public Key Cryptography Standards)というのは公開鍵暗号の技術を標準化するための規格
--PKCS には、PKCS#1形式からPKCS#15形式までがあり
--その中でもPKCS#7というのは暗号化データや署名データを証明書と共に格納できる形式で、SSLサーバ証明書などを配布する際にも、利用されるフォーマット
--PKCS#7形式は複数の公開鍵証明書をパッケージした形式
--PKCS#7ファイルの一般的な拡張子は .p7b .spc
--PKCS#7形式は、X.509形式の証明書が複数パッケージされた形式
--PKCS#7形式は公開鍵を複数パッケージしたファイルと言えますが、ルート証明書も公開鍵ファイルなので、当然含めることができます。
-[[SSLサーバー証明書 : 証明書ファイルの種類とopensslでの変換方法 | DigiCert>https://rms.ne.jp/sslserver/basis/file_types/]] 2022
-[[証明書およびキーのフォーマット>https://www.microfocus.co.jp/manuals/ED60/VS2017/BKCJCJCERTS001.html]] 2017
--DER:このフォーマットには、プライベート キー (RSA または DSA)、公開キー (RSA または DSA)、および X.509 証明書を含めることができます。ヘッダーはありません。ほとんどのブラウザーでデフォルト フォーマットとなっています。1 つのファイルに含めることができる証明書は 1 つのみです。必要に応じて、証明書を暗号化することもできます。標準の拡張子は .cer ですが、インストール環境によっては .der である場合もあります。
--PEM:このフォーマットには、プライベート キー (RSA または DSA)、公開キー (RSA または DSA)、および X.509 証明書を含めることができます。OpenSSL のデフォルト フォーマットです。ASCII ヘッダーで囲まれた ASN.1 または DER フォーマットでデータが格納されるため、システム間でファイルをテキストとして送信する場合に適しています。1 つのファイルに複数の証明書を含めることができます。標準の拡張子は .pem です。
--PKCS #7:暗号メッセージ構文標準です。1 つのファイルに複数の証明書を含めることができます。必要に応じて、ハッシュを生成できます。必要に応じて、証明書にプライベート キーも添付できます。元の PKCS #7 に加えて、a、b、c の 3 つのリビジョンがあります。これら 4 つのバージョンの標準の拡張子は、それぞれ .spc、.p7a、.p7b、.p7c です。
--PKCS #8:このフォーマットには、プライベート キーおよび暗号化されたプライベート キーの情報を含めることができます。データは base64 でエンコードされて格納されます。通常は DER または PEM の構造が使用され、その後に暗号化されます。標準の拡張子は .p8 です。
--PKCS #12:PFX とも呼ばれます。このフォーマットには、プライベート キー (RSA または DSA)、公開キー (RSA または DSA)、および X.509 証明書を含めることができます。バイナリ フォーマットでデータが格納されます。標準の拡張子は .pfx または .p12 です。