Archive for 9月, 2015

5年に一度のイベント

土曜日, 9月 19th, 2015

国勢調査、インターネットで回答しました。
survey

なんか起きないかなーと、良からぬ期待をしながら
ポチポチと回答入力。。。。。

特に何も起きず5分で完了。

ちょっと残念でした。

納豆アメ

金曜日, 9月 18th, 2015

いただきものです。

おまけに納豆味のアメが入っているとのこと

納豆は好きですが、怖くて食べられない。。。

neba

SSL証明書更新メモ その3

火曜日, 9月 15th, 2015

個別に対策してきた脆弱性についてもまとめ。

脆弱性の有名どころと対策

Heartbleed

・OpenSSLのバージョン 1.0.1g以降を使用すること

POODLE

・SSLv3の使用を中止。併せてSSLv2も同様に使用中止
※Apache2.2をmod_sslの場合
・SSLProtocol に「-SSLv2 -SSLv3」を追加する。

FREAK

・Export Cipherの使用を中止。
※Apache2.2をmod_sslの場合
・SSLCipherSuite に追加「!EXPORT」
・SSLCipherSuiteから以下のものを除外することが目的

  • EXP-DES-CBC-SHA
  • EXP-RC2-CBC-MD5
  • EXP-RC4-MD5
  • EXP-EDH-RSA-DES-CBC-SHA
  • EXP-EDH-DSS-DES-CBC-SHA
  • EXP-ADH-DES-CBC-SHA
  • EXP-ADH-RC4-MD5

SSL証明書更新メモ その2

金曜日, 9月 11th, 2015

config設定

いくつか前提

  • Apache2.2系
  • Apache-sslではなくmod_ssl
  • Apache起動時にパスフレーズの確認は許容

発行された証明書をApacheの設定ファイルに反映する。

  • SSLCertificateFile:発行されたSSLサーバ証明書を指定
  • SSLCertificateKeyFile:サーバ証明書作成時に使用した秘密鍵を指定
  • SSLCertificateChainFile:発行された中間CA証明書+クロスルート証明書を指定

 

クロスルート証明書についてもう少し掘り下げてみた。

証明書の階層構造が異なるらしい。

3階層

・サーバ証明書 – 中間CA証明書 – ルート証明書

4階層

・サーバ証明書 – 中間CA証明書 – クロスルート証明書 – ルート証明書
 

ルート証明書は各ブラウザに組み込まれているため
中間CA証明書を参照できない端末がクロスルート証明書を必要とする。

PCのブラウザは、セキュリティパッチやバージョンアップなどの際に新しいルート証明書が提供されているが、
携帯端末等は、ルート証明書の更新機能がない場合や、そもそも組み込まれているルート証明書が少ない場合、クロスルート証明書を経由する。

相互認証なることを行い認証するので、ルート証明書との相互認証により警告なしで使用可能とある。

脆弱性対策については別途

SSL証明書更新メモ その1

水曜日, 9月 9th, 2015

SSL証明書の更新を行うことになった。
今回は証明書のハッシュアルゴリズムをSHA-1からSHA-2に変更する必要があるとのこと。

変更理由はここがわかりやすい。

各社対応時期に多少の違いはあれど、2015年中の対応が必要で、ざっくり言うとこんな手順

  1. 乱数を生成
  2. 乱数から秘密鍵生成
  3. 秘密鍵を使用してCSRファイル生成
  4. 認証局へSSLサーバ証明書を発行依頼
  5. 発行された証明書の取り込み

乱数を生成

#openssl sha256 /var/log/messages > randam.dat

  • 乱数として使用するだけなのでmd5でも問題ない
  • 「/var/log/messages」としているが「/dev/random」などでも問題ない

秘密鍵の生成

#openssl genrsa -aes256 -rand randam.dat 2048 > private.key

  • 作成したrandam.datを元にパスフレーズ付きの秘密鍵を生成する
  • デフォルトで生成される鍵の長さ1024Bitだが、長さ指定で2048Bitの指定である場合が多い
  • 「-rand」オプションを使用しないことも可能だがその場合、乱数取得元が未確認。「/dev/random」等か?
  • 秘密鍵が平文のままだとマズイのでAESでパスフレーズ付きに暗号化する

生成された秘密鍵を使用してCSRを生成する。

#openssl req -new -key private.key -sha256 -out server.csr

  • 「-sha256」が今回の本命で、いくつかあるSHA-2のうちSHA-256を選択している。
    他との主な違いはハッシュ値長の違い。
  • CSR:サーバ証明書を発行要求する署名(Certificate Signing Request)
  • 以下このマンドで生成したCSRファイルの内容を確認することが出来る。

#openssl req -in server.csr -text

認証局へSSLサーバ証明書を発行依頼

  • 販社のサイトなどで発行作業

発行された証明書の取り込み

  • また別途。

いただきもの

木曜日, 9月 3rd, 2015

いつもながら何処で探してくるのか不思議である。

20150903

意外と美味しいのだなこれが。

水害対策

火曜日, 9月 1st, 2015

自宅の洗面台が残念なコトになった。

先日、洗顔中にギックリ腰に見舞われたが、
今回は洗顔中、気がつくと足元がなんか冷たい。

原因は、水栓についているジャバラの部品が経年劣化のため、
激しく水漏れしている。

劣化している部分だけ取り替えて終了かと考えていたが、
見積もりしてもらうと中々良い数字になる。

ホームセンターで買い物の際に、洗面台を展示している箇所があり
色々見ていると工事したくなってきた欲しくなってきた。

以前シンクに物を落として、少し欠けていることもあり、
思い切って全部自分で交換すると決めた。

ざっと思いつく課題
・持ち帰りの可否→車に乗れば持って帰る、無理なら配送
・交換手順→Google先生が知っている
・古い洗面台の廃棄→個人作業なら市の大型粗大ごみ回収サービスが利用可能

この辺を確認して、ホームセンターでいざ購入。
車には乗ったし、交換手順は確認した。大型ゴミ回収手配も完了。
いざ実施してみると。。。全然楽勝。

多少の切った張ったは必要ですが、半日かからず交換完了。

水漏れもなく、しっかり水平出てるし全く問題なし。

一番の問題は「腰」でした。ホーローの洗面台は重い。