Internet Week 2014 S14 サイト管理者が知っておくべきSSLの秘孔(ツボ)

2014年11月20日に開催されたInternet Week 2014 S14 「サイト管理者が知っておくべきSSLの秘孔(ツボ)」について、ハッシュタグ #iw2014jp s14でヒットした呟きを集めたものです。
3
matsuu @matsuu

Internet Week 2014ついた。S14 サイト管理者が知っておくべきSSLの秘孔(ツボ)を聞きに来た。聞きに来たのはこれだけ。 #iw2014jp internetweek.jp/program/s14/

2014-11-20 13:20:25
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

『サイト管理者が知っておくべきSSLの秘孔』S14 に出席しています #iw2014jp

2014-11-20 13:26:50
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

TLSハンドシェイク ClientHello, ServerHello, Certificate(省略可) #iw2014jp S14

2014-11-20 13:36:49
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

昔、オレオレ認証局立上げて、取引先にクライアント証明書配ったよ #iw2014jp S14

2014-11-20 13:40:01
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

SSL/TLSのハンドシェイクについてかなり丁寧に説明してくれていて改めて勉強になる #iw2014jp S14

2014-11-20 13:42:51
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

Netscape Navigator 1.0 は中間CA使えなかったのか〜 #iw2014jp S14

2014-11-20 13:47:29
Toshi @toshi0104

#it #iw2014jp Internet Week 2014 - S14 サイト管理者が知っておくべきSSLの秘孔(ツボ) -: Internet Week 2014ついた。S14 サイト管理者が知っておくべきSSLの秘.. j.mp/1F5SIOE

2014-11-20 13:55:49
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

暗号アルゴリズムを選択しないと逃れられないSSL/TLS脆弱性がある (後のセッションへ続く) #iw2014jp S14

2014-11-20 13:56:41
Kimiya Kitani @kimipooh

#iw2014jp S14 昔の歴史はしらなかったのでホウホウという感じです。ざっと状況を知ることが出来るのはよかった

2014-11-20 13:58:04
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

『サーバの正しいSSL/TLS設定のツボ』漆嶌さん #iw2014jp S14

2014-11-20 14:00:03
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

最新のサーバ、パッチ当てて、証明書と秘密鍵を設定すればいい… だめよだめだめ #iw2014jp S14

2014-11-20 14:01:07
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

SSLCipherSuite の設定ってわけわからんよねw というところを解説してくれるみたい #iw2014jp S14

2014-11-20 14:03:43
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

サポートする環境を考え出すと確かにカオスになるよね #iw2014jp S14

2014-11-20 14:05:20
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

CipherSuiteとは鍵交換と認証のアルゴリズム、共通鍵暗号のアルゴリズム、メッセージ認証のアルゴリズムの組み合わせ。RFCでは318種類あるとか #iw2014jp S14

2014-11-20 14:09:41
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

レガシー設定の二択、どっちを選んだら良いか私もわかりません、とのこと。いつも悩むとこだけどw #iw2014jp S14

2014-11-20 14:13:43
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

HTTPヘッダに証明書の公開鍵ハッシュを入れておくのか Pinning #iw2014jp S14

2014-11-20 14:21:12
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

OCSPサーバにつながらないと証明書は有効になってしまう #iw2014jp S14

2014-11-20 14:23:40
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

認証曲にもOCSPのログが残ってしまうのでプライバシー上まずいんじゃないの? > OCSP Stapling #iw2014jp S14

2014-11-20 14:24:41
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

レガシーな環境対応必要ならベンダーによく確認を #iw2014jp S14

2014-11-20 14:27:55
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

すんげーまとまった資料。おまけに補足サイトまで準備いただけるそうですげー #iw2014jp S14

2014-11-20 14:29:35
𝕋𝐞𝐧𝔽𝐨𝐫𝐰𝐚𝐫𝐝🖖 @ten_forward

異なる技術の暗号技術で同一の評価尺度で安全性を表す > 等価安全性 #iw2014jp S14

2014-11-20 14:48:17