このブログを検索

ラベル SSL の投稿を表示しています。 すべての投稿を表示
ラベル SSL の投稿を表示しています。 すべての投稿を表示

2018/11/07

【SSL】Symantec、SSLに心折れてた(事業売却)

Symantec社がSSL事業に心を完全に折られて
DigiCert社に事業売却となっているけど

これ、完全に汚れたSymantecのROOT-CAから
DigiCertのROOT-CAに変更
という感じで、SSL証明書ではよくある話。

ブラウザに新ROOT-CAが搭載されれば、WEBサーバ管理者
や管理組織は、SSL証明書の再発行をすれば
大丈夫なはずなので、ほとんど問題はないかと。

*今、見れるから変えなくていいやという組織は放置でw

2018/10/10

DNS浸透問題

これが発端の絵です。
なんか、どんどん順番に広がってってますけど
こんな動作はしません。

というかそもそも、プロバイダのDNSを設定してねと書かれてる数字は
PCやスマホやアイフォンなどからの総合問い合わせ担当サーバです。
すなわち、初めて問い合わせを受けなければ「存在がわからない
という、DNSキャッシュサーバです。本来はそうなのです。
(存在を知ったとしても、一定時間で忘れてしまうようになっている
 おまえは3歩歩くと忘れるニワトリか!!! 状態)
「問い合わせを受けないと存在に気が付けない」サーバなのに
 なんで勝手に情報がいくのでしょう。意味不明でこれはアウトです

まさに、何はともあれ座布団全部持ってって レベルです。
こういう感じ

実はこの絵が原因となり、浸透と言っている奴はああいう想像しか
していないそれ以外の考えは存在しないはずだ
という認識が日本で完全浸透してしまいました。
DNS浸透だけに、「本当にそうなのか」わからないのにそうだと浸透して
しまいました。

その結果、浸透いうな。
DNSを学びなおす為に幼稚園からやり直せ
という、魔女狩りが始まりました

イメージは、DNS浸透と書いたら

すぐ水爆が降ってきます。というかそれだけエゴサーチ文化になりました。

なので、
「サーバ移転しても一切告知しない」「DNS系に関しては徹底的に情報だんまり」
が、日本では人として勝ち組になります

そして、DNS浸透を使っている、情弱達
*ツッコミしてる側は情強達です

ちなみに、HTTP/2に関しては全サイトプリロードまで済んでいるはずなので
まったくもって問題ないというのが職者共通認識である。

今の時代は
1:移転を告知しない
2:サイト見れない系の問い合わせをスルー
する事が重要で、企業が展開するソーシャルゲームは
企業のサブドメインでやる事が、日本IT技術での情強と断言できるでしょう。


2018/07/25

CAAレコード SSL証明書

SSL証明書が発行を許可する場所を指定する
CAAレコードというものがあります。

僕も知らなかった。

認証局を指名するレコードです。
ようは「ここの認証局以外は発行しちゃダメよ。この認証局しか使わんぞ」
と、定義する為のレコード。

ドメイン購入すると、ドメイン所有者しかレコード操作できないので
使う人が指定したという事になります。

ちなみに、愛するcloudflareさんは
IN CAA 0 issue “comodoca.com”
IN CAA 0 issue “digicert.com”
IN CAA 0 issue “globalsign.com”
IN CAA 0 issuewild “comodoca.com”
IN CAA 0 issuewild “digicert.com”
IN CAA 0 issuewild “globalsign.com”
を設定すれば良いらしい


2018/05/29

【SSL】Certificate Transparency【技術】

EV SSLの総理官邸がGoogleになった瞬間ですな

実はこれ、SSLを取った場合にどんなSSLをとっているかの
ログをずーっと記録するシステムなんですね
偽物検知の為のシステムです。

EV SSLという、アドレスバーになんとか株式会社とか、なんとか銀行
とか表示してフィッシングを防ぐものです。
こういうシステムがあるなら、とっとと
「Certificate Transparency」チェックに全面移行できないのは
どこの国も技術力弱いのかねぇ。

それとも、SSLの技術が想定外に高かったのか…
真相は闇の中

ちなみに、2015年10月28日「Symantecの証明書発行に不手際」を指摘
して、「Certificate Transparency」に対応させた事で
SSL証明書の総理官邸はgoogleに完全権限移動した事となる。

2018/03/10

SSL blogger.comの最終検証

実は、blogger.comにβ搭載されている
カスタムドメインのSSLを試してみた所
以下の事がわかった。


1:新規にSSLを取れるのは、これから1記事目を書くという人
このドメイン名では、3日以上、有効操作をしたが反映されなかった
事から、これから1記事目を書く人かつSSL化のみの対応と判断した

2:常にたくさんの記事を書いており、そこからのSSL切り替えは反映しない
たくさん記入済みの記事ではSSLを取れる可能性は0%なので
cloudflareのSSLで、Flexible設定しか選択肢が存在しないと断言できる

よって、ドメインとって、blogger.comで記事を書く人は
blogger.comのSSL
たくさん記事書いてて、これからSSLは
cloudflareのSSL
とするのが、情報強者として人として勝ち組と断言できる


2018/03/08

FREE SSL ちょっと検証

letsencrypt
というサイトがあるですが、UNIXの技術がないと
存在意義がありません。

が、それを解決するのがあります
zerosslというのがあり、WEB経由でSSLが取れます

CSRを作成するサイトはこちら
CSR Generator ですね
https://zerossl.com/free-ssl/#csr
2048bit を選択しておくと、いろいろ融通が利くようです

上記で、CSRを作成したら

https://zerossl.com/free-ssl/#crt
で実際のSSLを作っていく流れです。

ただし、HTTP認証は100%失敗するので
DNS認証選択が100%確実と断言できます

あ、ちなみに「letsencrypt」の特性上、90日毎に
更新が必要です

詳しくはこちら
https://www.apps-gcp.com/zerossl-letsencrypt/

2017/06/05

HSTSをONにしてみた

HSTSって、SSL通信のあれらしいんだけど
なんとなくONにしてみた。
どーなるんだろうね。わくわく