#author("2024-02-23T10:15:23+09:00","default:irrp","irrp")
#author("2024-03-28T18:40:58+09:00","default:irrp","irrp")
→Web技術関連

→[[暗号化]]

→[[SSL-VPN]]

#contents

*一般 [#vb830a42]
-[[DNSでHTTPS ※ただしDNS over HTTPSではない - Speaker Deck>https://speakerdeck.com/iij_pr/dnsdehttps-star-tadasidns-over-httpsdehanai]] 2024.2
-[[HTTPSレコードがRFCになりました | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/23963]] 2024.2

-[[Free Wi-Fi(00000JAPAN)は安全なのか? #Security - Qiita>https://qiita.com/ngkwtys/items/3756edcd690d5b6221cb]] 2024.1
-[[HTTPSは安全なのか? #Wi-Fi - Qiita>https://qiita.com/uturned0/items/1b1fd8f35d266a810344]] 2024.1

-[[SSL/TLS 証明書を今すぐローテーションしましょう – Amazon RDS と Amazon Aurora については 2024 年に期限切れになります | Amazon Web Services ブログ>https://aws.amazon.com/jp/blogs/news/rotate-your-ssl-tls-certificates-now-amazon-rds-and-amazon-aurora-expire-in-2024/]] 2023.10

-[[話題の「Telnet」電子公告、「平文やんけ」という指摘に応えて「over SSL」版を追加 - やじうまの杜 - 窓の杜>https://forest.watch.impress.co.jp/docs/serial/yajiuma/1529292.html]] 2023.9

-[[Windows 11がTLS 1.0/1.1のサポートを終了、不具合が予想されるアプリ一覧 | TECH+(テックプラス)>https://news.mynavi.jp/techplus/article/20230803-2740735/]] 2023.8

-[[パケットキャプチャで理解する TLS1.3>https://zenn.dev/arailly/books/41061020f0cfaa]] 2023.7

-[[【OSI 参照モデル レイヤ5 セッション層】SSL/TLS とは | ほげほげテクノロジー>https://hogetech.info/network/osi/layer5]] 2023.3

-[[HTTPS通信時のURLは暗号化されるか - うまいぼうぶろぐ>https://hogem.hatenablog.com/entry/20100307/1267977441]] 2018
--HTTPS通信中のURL情報は暗号化される
--盗聴されてもURLはばれない
--web serverのログにはURLは復号されて記録される
--ログを残すかは設定次第

-[[スマートフォンアプリケーションにおけるサーバ証明書検証不備の検証方法 - ラック・セキュリティごった煮ブログ>https://devblog.lac.co.jp/entry/20230213]] 2023.2

-[[その証明書、安全ですか? | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/17668#%e8%a8%bc%e6%98%8e%e6%9b%b8%e3%81%ae%e7%99%ba%e8%a1%8c%e6%89%8b%e7%b6%9a%e3%81%8d%e3%81%ae%e5%ae%89%e5%85%a8%e6%80%a7]] 2023.1

-[[証明書って何だっけ? 〜AWSの中間CA移行に備える〜 - Speaker Deck>https://speakerdeck.com/minorun365/zheng-ming-shu-tutehe-datuke-awsnozhong-jian-cayi-xing-nibei-eru]] 2023.1

-[[HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について | IIJ Engineers Blog>https://eng-blog.iij.ad.jp/archives/14820]] 2022.9

-[[SSL証明書を要求するためにterraformを使用する | DevelopersIO>https://dev.classmethod.jp/articles/use-terraform-to-request-ssl-certificates/]] 2022.7

-[[httpをhttps(常時SSL)にする方法!|サイバーセキュリティ.com>https://cybersecurity-jp.com/column/68290]] 2022.6

-[[testssl.shでサーバーが対応しているSSL/TLSプロトコル、暗号化アルゴリズムなどを確認する - CLOVER🍀>https://kazuhira-r.hatenablog.com/entry/2022/06/14/020438]] 2022.6

-[[独自 CA で発行したサーバ証明書を使用して API Gateway の mTLS を設定してみた | DevelopersIO>https://dev.classmethod.jp/articles/api-gateway-mtls-using-an-imported-certificate/]] 2022.6

-[[チュートリアル: Amazon Linux 2 に SSL/TLS を設定する>https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html]]

-[[SSL Server Test>https://www.ssllabs.com/ssltest/index.html]]
--入力したサーバのSSL設定を確認してくれる

-[[WiresharkでSSL通信の中身を覗いてみる>http://d.hatena.ne.jp/ozuma/20140413/1397397632]] 2014.4.13

-[[ httpsだからというだけで安全?調べたら怖くなってきたSSLの話!?>http://qiita.com/kuni-nakaji/items/5118b23bf2ea44fed96e]] 2014.3.17

-[[How does SSL work?>http://security.stackexchange.com/questions/20803/how-does-ssl-work/20833]] 2012.9.29

-[[HTTPSコネクションの最初の数ミリ秒>http://www.infoq.com/jp/articles/HTTPS-Connection-Jeff-Moser]]

-[[MD5コリジョンでインチキ認証局はつくれる>http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/]]

-[[CSR(署名請求)の作り方>http://code.nanigac.com/source/view/318]]
--[[CSR(Certificate Signing Request)の説明>http://jp.globalsign.com/support/index.php?action=artikel&cat=8&id=65&artlang=ja&highlight=CSR?id=ad_csr&gclid=CKrczPX_vY4CFSiaYAodzmilmw]]

-[[ベリサイン サーバID製品価格一覧>http://www.verisign.co.jp/server/chart.html]]

-[[サーバID概要>http://www.verisign.co.jp/server/first/serverid.html]]
--セキュア・サーバIDとグローバル・サーバIDの違いは、暗号強度
--セキュア・サーバIDは、世界でもっとも多く利用されているサーバ証明書です。
--グローバル・サーバIDは、より高度な暗号化を実現するサーバIDとして、金融機関やオンラインショップなどで利用されています。

-[[SSL@IT:http://www.atmarkit.co.jp/channel/ssl/ssl.html]]
-[[SSLとTSL@IT:http://www.atmarkit.co.jp/fnetwork/rensai/cell03/ssl1.html]]


*EC2のhttps化 [#odb89cd6]
-[[ドメイン移行に伴う、ALBに複数のドメイン証明書を付与するやり方>https://zenn.dev/techtrain_blog/articles/721730d57cb799]] 2024.1

-[[AWS Certificate Manager(SSL/TLS 証明書のプロビジョン、管理、およびデプロイ)| AWS>https://aws.amazon.com/jp/certificate-manager/]] 2024.1

-[[Amazon Linux 2023 での SSL/TLS の設定 - Amazon Elastic Compute Cloud>https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2023.html]] 2024.1
-[[Amazon Linux 2 での SSL/TLS の設定 - Amazon Elastic Compute Cloud>https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html]] 2023.12
-[[AWS EC2上のアプリのhttpリクエストをhttpsにした【初学者】 - Qiita>https://qiita.com/seshiruff4214/items/d72b56c5c08ba7a455f8]] 2022.9
-[[チュートリアル: Amazon Linux 2 に SSL/TLS を設定する - Amazon Elastic Compute Cloud>https://docs.aws.amazon.com/ja_jp/ja_jp/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html]] 2021
-[[AWSでhttps化 #AWS - Qiita>https://qiita.com/e_tyubo/items/e6d53b3b32a5eae3837d]] 2019
-[[AWSでWebサイトをHTTPS化 全パターンを整理してみました – ナレコムAWSレシピ | AIに強い情報サイト>https://recipe.kc-cloud.jp/archives/11067/]] 2018


*SSL証明書 [#q365f0b9]
-[[certbotでSSL証明書を発行するまで #Apache - Qiita>https://qiita.com/erukku/items/b9c20f3163ad4abb2904]] 2024.1

-[[Let’s Encrypt の証明書の更新を自動化する手順 (cron) |>https://weblabo.oscasierra.net/letsencrypt-renew-cron/]] 2024.1

-[[Oracle Cloud(OCI) 証明書サービスでWebサイトをHTTPS対応してみる - Qiita>https://qiita.com/Skogkatter112/items/da7847861c203fdab8ee]] 2022.3

-[[自己署名証明書(CA 含む)を簡単に作成する方法 - Qiita>https://qiita.com/Tomohiro/items/389da6ee4a93a5aa4334]] 2018
--Minica is a simple CA intended for use in situations where the CA operator also operates each host where a certificate will be used. 

-[[知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) | DevelopersIO>https://dev.classmethod.jp/articles/how-to-disable-certificate-transparency-with-aws-certificate-manager/]] 2021.12

-[[ネコでもわかる!さくらのVPS講座 〜第六回「無料SSL証明書 Let’s Encryptを導入しよう」>https://knowledge.sakura.ad.jp/10534/]] 2017

-[[AWSでSSL化する方法を伝授!!!>https://qiita.com/nakanishi03/items/3a514026acc7abe25977]] 2019.10
--AWSでSSL証明書は無料で取得できる

-[[SSL証明書を取得してHTTPS化する設定方法>https://allabout.co.jp/gm/gc/464365/]] 2019.6

-[[無料のSSL証明書StartSSLを活用する>http://qiita.com/k-shogo/items/870b6d3939dd08da2de4]] 2013.10.31

-[[個人利用なら SSL 証明書が無料で利用できるらしい>http://fnya.cocolog-nifty.com/blog/2012/03/ssl-6f3f.html]] 2012.3.18
--http://www.startcom.org/

-[[知っておきたいSSLサーバ証明書の取得まで>http://blog.livedoor.jp/ld_directors/archives/51085702.html]]

-http://sslreview.jp/
--http://sslreview.jp/faq.html
--[[SSL証明書 比較サイト>http://sslreview.jp/content/table/index.html]]




* オレオレ証明書 [#t956b782]
-[[PKIよくある勘違い「オレオレ証明書でもSSLは正常に機能する」:http://takagi-hiromitsu.jp/diary/20050123.html#p01]]

-[[オレオレ証明書をselfsslで作る>http://www.atmarkit.co.jp/fwin2k/win2ktips/914selfssl6/selfssl6.html]]

-[[オレオレ証明書:http://d.hatena.ne.jp/keyword/%A5%AA%A5%EC%A5%AA%A5%EC%BE%DA%CC%C0%BD%F1]]
--信頼できる認証機関の署名を得ていない暗号鍵使って暗号化通信をしようとすること
--[[NTT西日本のケース@slash.dot:http://slashdot.jp/security/article.pl?sid=05/10/23/0122229]]

-[[なぜSSL利用をケチるのか>http://itpro.nikkeibp.co.jp/article/OPINION/20051122/224983/]]
-[[テスト用SSLサーバ構築>http://www.microsoft.com/japan/msdn/security/iis-ssl/iis-ssl.aspx]]


* OpenSSL [#ob520164]
-[[OpenSSLのコマンドでお手軽ファイル暗号化 #OpenSSL - Qiita>https://qiita.com/ssc-ynakamura/items/09469c765c55dd5d71f8]] 2024.3

 OpenSSL is a cryptography toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer
 Security (TLS v1) network protocols and related cryptography standards required by them.
 
       The openssl program is a command line tool for using the various cryptography functions of OpenSSL's crypto
       library from the shell.  It can be used for
 
        o  Creation and management of private keys, public keys and parameters
        o  Public key cryptographic operations
        o  Creation of X.509 certificates, CSRs and CRLs
        o  Calculation of Message Digests
        o  Encryption and Decryption with Ciphers
        o  SSL/TLS Client and Server Tests
        o  Handling of S/MIME signed or encrypted mail
        o  Time Stamp requests, generation and verification

-[[encryption - Extract public Certificate from SMIME Message (pkcs7-signature) with OpenSSL - Stack Overflow>https://stackoverflow.com/questions/5678124/extract-public-certificate-from-smime-message-pkcs7-signature-with-openssl]] 2011
--SMIMEのメールについてくる署名の情報(smime.p7s)を見るには
  openssl pkcs7 -in smime.p7s -inform DER -print_certs

-[[Opensslの各種確認コマンド - Qiita>https://qiita.com/tyanakaz/items/c0fb90ed0e03c097e00b]] 2018

-OpenSSLのヘルプテキスト
 OpenSSL> help
 Standard commands
 asn1parse         ca                ciphers           cms
 crl               crl2pkcs7         dgst              dhparam
 dsa               dsaparam          ec                ecparam
 enc               engine            errstr            gendsa
 genpkey           genrsa            help              list
 nseq              ocsp              passwd            pkcs12
 pkcs7             pkcs8             pkey              pkeyparam
 pkeyutl           prime             rand              rehash
 req               rsa               rsautl            s_client
 s_server          s_time            sess_id           smime
 speed             spkac             srp               storeutl
 ts                verify            version           x509
 
 Message Digest commands (see the `dgst' command for more details)
 blake2b512        blake2s256        gost              md4
 md5               rmd160            sha1              sha224
 sha256            sha3-224          sha3-256          sha3-384
 sha3-512          sha384            sha512            sha512-224
 sha512-256        shake128          shake256          sm3
 
 Cipher commands (see the `enc' command for more details)
 aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb
 aes-256-cbc       aes-256-ecb       aria-128-cbc      aria-128-cfb
 aria-128-cfb1     aria-128-cfb8     aria-128-ctr      aria-128-ecb
 aria-128-ofb      aria-192-cbc      aria-192-cfb      aria-192-cfb1
 aria-192-cfb8     aria-192-ctr      aria-192-ecb      aria-192-ofb
 aria-256-cbc      aria-256-cfb      aria-256-cfb1     aria-256-cfb8
 aria-256-ctr      aria-256-ecb      aria-256-ofb      base64
 bf                bf-cbc            bf-cfb            bf-ecb
 bf-ofb            camellia-128-cbc  camellia-128-ecb  camellia-192-cbc
 camellia-192-ecb  camellia-256-cbc  camellia-256-ecb  cast
 cast-cbc          cast5-cbc         cast5-cfb         cast5-ecb
 cast5-ofb         des               des-cbc           des-cfb
 des-ecb           des-ede           des-ede-cbc       des-ede-cfb
 des-ede-ofb       des-ede3          des-ede3-cbc      des-ede3-cfb
 des-ede3-ofb      des-ofb           des3              desx
 rc2               rc2-40-cbc        rc2-64-cbc        rc2-cbc
 rc2-cfb           rc2-ecb           rc2-ofb           rc4
 rc4-40            seed              seed-cbc          seed-cfb
 seed-ecb          seed-ofb          sm4-cbc           sm4-cfb
 sm4-ctr           sm4-ecb           sm4-ofb



* 証明書の仕様 [#qea82a86]

-[[PKCS7形式と拡張子。サーバ証明書で使われるPKCS#7形式とは? | 世界一わかりやすいセキュリティ>https://security.data-site.info/35.html]] 2014
--PKCS(Public Key Cryptography Standards)というのは公開鍵暗号の技術を標準化するための規格
--PKCS には、PKCS#1形式からPKCS#15形式までがあり
--その中でもPKCS#7というのは暗号化データや署名データを証明書と共に格納できる形式で、SSLサーバ証明書などを配布する際にも、利用されるフォーマット
--PKCS#7形式は複数の公開鍵証明書をパッケージした形式
--PKCS#7ファイルの一般的な拡張子は .p7b .spc
--PKCS#7形式は、X.509形式の証明書が複数パッケージされた形式
--PKCS#7形式は公開鍵を複数パッケージしたファイルと言えますが、ルート証明書も公開鍵ファイルなので、当然含めることができます。

-[[SSLサーバー証明書 : 証明書ファイルの種類とopensslでの変換方法 | DigiCert>https://rms.ne.jp/sslserver/basis/file_types/]] 2022

-[[証明書およびキーのフォーマット>https://www.microfocus.co.jp/manuals/ED60/VS2017/BKCJCJCERTS001.html]] 2017
--DER:このフォーマットには、プライベート キー (RSA または DSA)、公開キー (RSA または DSA)、および X.509 証明書を含めることができます。ヘッダーはありません。ほとんどのブラウザーでデフォルト フォーマットとなっています。1 つのファイルに含めることができる証明書は 1 つのみです。必要に応じて、証明書を暗号化することもできます。標準の拡張子は .cer ですが、インストール環境によっては .der である場合もあります。
--PEM:このフォーマットには、プライベート キー (RSA または DSA)、公開キー (RSA または DSA)、および X.509 証明書を含めることができます。OpenSSL のデフォルト フォーマットです。ASCII ヘッダーで囲まれた ASN.1 または DER フォーマットでデータが格納されるため、システム間でファイルをテキストとして送信する場合に適しています。1 つのファイルに複数の証明書を含めることができます。標準の拡張子は .pem です。
--PKCS #7:暗号メッセージ構文標準です。1 つのファイルに複数の証明書を含めることができます。必要に応じて、ハッシュを生成できます。必要に応じて、証明書にプライベート キーも添付できます。元の PKCS #7 に加えて、a、b、c の 3 つのリビジョンがあります。これら 4 つのバージョンの標準の拡張子は、それぞれ .spc、.p7a、.p7b、.p7c です。
--PKCS #8:このフォーマットには、プライベート キーおよび暗号化されたプライベート キーの情報を含めることができます。データは base64 でエンコードされて格納されます。通常は DER または PEM の構造が使用され、その後に暗号化されます。標準の拡張子は .p8 です。
--PKCS #12:PFX とも呼ばれます。このフォーマットには、プライベート キー (RSA または DSA)、公開キー (RSA または DSA)、および X.509 証明書を含めることができます。バイナリ フォーマットでデータが格納されます。標準の拡張子は .pfx または .p12 です。

トップ   編集 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS