SSL

SSL/TLSについてまとめ2018

基礎知識 †

SSLの基本を押さえる

SSL 上の TCP 通信を行うサーバとクライアントの実装方法

SSLは共通鍵暗号方式と公開鍵暗号方式の両方を使用する
公開鍵暗号方式は、データ授受に用いる共通鍵のやり取りのみに用いられる
送信データは共通鍵にて暗号化される

↑

通信トラフィック †

↑

OpenSSL †

1.0.0 が出ているが、Apacheのconfigure時にエラーが出たりトラブルに遭遇するので、まだ使わない方が良い

↑

インストール †

# ./config shared -fPIC
# make
# make test
# make install

上記は64bit版Linuxの場合
sharedはシェアードライブラリ(共有ライブラリ)を作るという指定

↑

プログラミング †

↑

動作検証 †

↑

OpenSSL †

openssl コマンドで SSL/TLS バージョンを指定した HTTPS 接続テストを実施する

↑

wget †

↑

証明書 †

オレオレ証明書を使いたがる人を例を用いて説得する

無料 SSL 証明書 StartSSL を使う
秘密鍵とCSRの確認 ... ページの中ほど
マルチクラウド環境におけるサーバ証明書の運用　Let's Encrypt/AWS/Azure

↑

Root証明書 †

有効期限切れのルート証明書ファイルにより、SSL通信に失敗する際の対処法

DigiCertのroot証明書、中間証明書　ダウンロード
- DigiCert Trusted Root Authority Certificates ... ここからダウンロード

CA certificates extracted from Mozilla

Google roots.pem ... 基本的にはこれで十分（但し、Let's Encryptは未対応？）

GeoTrust Root Certificates
digicert【マネージドCA】ルート証明書インストール方法
DST Root CA X3 - IdenTrust ... Let's Encryptを使うならこのRoot証明書を使用する

↑

GoogleのRoot認証局 †

Google Trust Services
- GoogleのRoot証明書のURLは https://pki.goog/roots.pem
  - 以前のURLは https://pki.google.com/roots.pem ... 現在は使用不可

Google、独自のルート認証局Google Trust Servicesを運用開始 ... 2017/2/2
- The foundation of a more secure web ... 2017/1/26
- curlによるhttps通信 ... 2016/8/10

↑

Root証明書ファイルの有効期限を確認する方法 †

任意のルート証明書ファイルの中身を確認

$ openssl x509 -text -noout -in 確認対象ファイル.pem

指定ディレクトリ以下のファイルを対象に一括で確認

$ find  /etc/ssl/certs/*.pem -type f -exec echo "--------------------" \; -exec echo {} \; -exec bash -c "openssl x509 -text -noout -in {} | head" \;

↑

Linux †

ブラウザのルートCA証明書をLinuxへインストールする

$ curl https://pki.goog/roots.pem -O
$ sudo mv roots.pem /etc/pki/ca-trust/source/anchors/
$ sudo update-ca-trust

↑

自己証明書 †

↑

IoTデバイス用 †

GMOグローバルサイン、IoTデバイス向けのSSL証明書大量発行サービスを開始

↑

Let's Encrypt †

Let's Encrypt 総合ポータル ... 非公式解説サイト
Let's Encrypt ユーザーガイド

無料SSL証明書のLet's Encryptとは？

↑

Root証明書 †

Chain of Trust

DST Root CA X3 - IdenTrust ... Let's Encryptを使うならこのRoot証明書を使用する

無料SSL認証サービス「Let’s Encrypt」のルート証明書が全ての端末で信頼されるまで5年はかかりそう

Let's Encryptでもルート証明書を発行しているが、現段階では多くのルート証明書ストアに採用されていない
- Let's Encryptのルート証明書「ISRG Root X1」は、モダンなブラウザやOSでは既に利用可能となっており、今後は（Iden Trustから）独自のルート証明書へ移行していくことが発表されている
- しかし、古いOSやスマートフォンなどには、このルート証明書が搭載されていないため、現在はIden Trustというルート認証局が運用する「DST Root CA X3」というルート証明書でクロス署名された中間証明書を利用している
- Iden TrustはISRGのスポンサーでもある

↑

Windows †

↑

ASP.NET Coreの場合 †

【DocumentRoot?】/web.config の以下の部分をコメントアウトする

<system.webServer>
    <!--
    <handlers>
      <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModule" resourceType="Unspecified" />
    </handlers>
    -->

【DocumentRoot?】/.well-known/acme-challenge/web.config を配置

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <httpRedirect enabled="false" />
    <validation validateIntegratedModeConfiguration="false" />
    <staticContent>
      <clear />
      <mimeMap fileExtension="." mimeType="text/json" />
      <mimeMap fileExtension=".*" mimeType="text/json" />
    </staticContent>
  </system.webServer>
  <system.web>
    <authorization>
      <allow users="*" />
    </authorization>
  </system.web>
</configuration>