セキュリティ
(今更)cronでLet's Encryptの証明書自動更新を設定しようと/usr/local/binにcertbotを導入したのだが、最初PPAでcertbotを導入してみるもバージョンが古いからか警告が出てくる。ので直接certbot-autoをダウンロードして使おうとapt purge certbotしたところ…
Ubuntu機の設定を変更し、Cloudflare DNSをStubbyというDNSサーバーソフトを経由しDNS over TLSで使うように設定したのは秘密。Stubbyにはキャッシュ機構がないのでdnsmasqを介してキャッシュさせるようにしている。詳細な設定については後日書くと思う。
ID/PW等の流出チェッカー Have I Been Pwnedが2017年あたりからパスワード入力での流出チェックもできるようになっていた件。何故今更気付いたかというと今日流出通知メールが来たから。様々なサイトから漏れたメールアドレス/パスワードが纏められてアップ…
先日Androidで動作するDNS over HTTPSのクライアントである、1.1.1.1とIntraを使ってみたのは秘密。前者は以前紹介したCloudflareの1.1.1.1の公式アプリで、後者はGoogle(Alphabet)のグループ会社 Jigsawが作ったアプリ。使用開始までのフローは両者とも同じ…
なんとなく、rita.xyzに対し、証明書の誤発行を防ぐために発行可能な認証局を制御するDNSレコード CAAをセットしてみたのは秘密。設定すべきCAAレコードを生成してくれるサイトがあるのでそれを使ってAmazonとLet's Encryptのみ許可する設定にした。Amazonは…
先日公開されたChrome 70よりTLS1.3(最終仕様版)に正式対応したため、2018/10/22にrita.link/ownCloudを収容するサーバーのnginxをTLS 1.3に対応させたのは秘密です。ただ単にOpenSSL 1.1.1を使ってnginxをビルドしなおして設定変えただけ。どうでもいいけど…
rita.linkやownCloudのあるサーバーのTLS1.3対応だが、ChromeやFirefoxの正式版(stable版)にて最終仕様に対応次第更新予定。というかサーバーOS上げたほうがいいかな……あとownCloudクライアント自体はTLS1.3対応するのかなぁ。どうでもいい話だけど。
OpenSSL 1.1.1の正式版が先日リリースされたので、それを使いnginxをビルドし、(ほぼ何もない)rita-ch.comにTLS1.3を導入してみようとしたが設定でTLSv1.3を有効化しても有効にならない(Chromeではchrome://flagsでTLS 1.3を有効化している)。設定的には間違…
TLS1.3の仕様書であるRFC8446が公布されたのでTLS1.3を導入してみたいと思っているが、TLS1.3に対応するOpenSSL 1.1.1はまだプレリリース段階。正式リリースになったら導入してもいいかもしれない。まずは(ほぼ何もない)rita-ch.comに導入してみる予定(サー…
先日の記事の続きみたいなの。新しくメールアドレスとOpenPGP鍵を作成し、OpenKeychainとK-9 Mailの連携でPC側と暗号化メールを送り合うテストをしてみたのは秘密。PC側のSylpheedは暗号化メール・署名メールに対応しているので正常に読み書きできた。K-9 Ma…
OpenKeychainというのを入れてみたのは秘密。PGP鍵を管理したり、暗号化・復号とかできたりする。公開鍵のインポートは鍵サーバー等の他、Keybaseからもインポート可能。K-9 Mailとの連携で暗号化メールの作成もできたりする。後で実験してみますかね…新たに…
今使っているFIDO U2F準拠セキュリティキーは安物のアレなので耐久性を考えればもう1つ買ってもいいのではと思っていたり。今使っているキーは挿入角度によっては認識しないことがあるし。今の所USB/Bluetooth/NFC対応なやつを検討していたりする。Bluetooth…
先日からHTTPS配信に切り替えられるようになったので3/13の18時前にこのブログの配信をHTTPSに変更した。デザインでGoogle Fontsを呼び出しているようだがそこでMixed Content警告が出たので近日中にテーマ変えるかも。過去記事におけるMixed Contentは光が…
staff.hatenablog.comあの発表から約5ヶ月、独自ドメイン以外のブログへのHTTPS対応が開始された。ただし負荷対策などのため段階的な開放。クローズドベータ時代に登録した人なのだが記事画像の通り執筆時点で開放されていない。開放され準備でき次第切り替…
staff.hatenablog.comはてなブログ全面HTTPS化計画の詳細発表から約2ヶ月、やっとダッシュボード・管理画面の一部がHTTPS化された。残念ながらHTTP/2には対応していないようだが…。第2段階実施はいつになるんだろうねぇ。あ、こちらはいつでもブログ全面HTTP…
9/25にはてなブログのHTTPS化計画の詳細が発表されたのはいいが、発表した次週頃にはダッシュボードをHTTPS化すると言っていたのに執筆時点でされていない件。おまけに9/30にダッシュボード内での不具合の件で問い合わせたのだが未だに返答がない件(修正も確…
staff.hatenablog.com以前はてなブログがHTTPS化の予定と書いたが、先日その詳細が発表された。まず来週にもダッシュボード(blog.hatena.ne.jp)をほぼHTTPS化、ブログへは11月頃に対応予定(独自ドメイン除く)と。一応rita.xyzから呼び出している画像などはす…
以前はてなブログがhttps化したら画像リンク貼替えないとなぁ…とか書いていたが、先日こっそり画像リンクをhttpsに貼り替えたのは秘密。これでいつでもhttps化されても大丈夫だね!なお、spamの晒しあげリンクなどは今のところ貼り替えの対象外。貼り替えてい…
もしはてなブログがHTTPS化した場合、rita.xyzなどから呼び出している画像ファイルなどのリンクをhttpsに書き換える必要がある(httpsのページからhttpのリソースを表示させようとすると警告などが出るため)。rita.xyzはHTTPS対応(HTTP/2対応)だが、書き換え…
注意喚起的な意味で書くアレ。最近ランサムウェア入りだと思われるメールが大流行中。10日あたりから増え始め、15日から現時点までで量がそこそこある。大抵はspamフィルタを余裕で通過してくるのでアレ。添付されているファイルは主にPDFだったり、Wordのフ…
先日、rita-ch.comのPHPのバージョンを7.0系に入れ換えましたが、本日朝、nginxをALPN対応(OpenSSL 1.0.2k使用)にした独自ビルドの物に入れ換えました。これによりChromeではHTTP/2でアクセスできるようになったはずです(記事画像はHTTP/2 Testでチェックし…
先日rita-ch.comのSSL通信に関するお知らせを発表したが、その作業予定内容を以下に記しておく。なお、作業予定日時は未定。予告なしにいきなり実施するかもしれないし、日時を告知して実施するかもしれない。 作業予定内容 TLS1.0/1.1サポート停止 TLS1.2の…
ちょっとしたお知らせ。近日中にrita-ch.comのSSL通信に関して、実験で暗号化スイートを新しめのスイートに限定させるため、古いブラウザではhttpsでアクセスできなくなるかもしれません。HSTSはセットしていないのでhttpsでアクセスできない環境でも普通のh…
Apache Struts2の脆弱性によるカード情報流出・個人情報流出が続発している件について。GMOPGが手がけた都税支払いサイトや、日本郵便の国際郵便マイページなど。特にGMOPGの案件は信用に大ダメージっしょ…。保存しちゃいけないCVVまで漏れてしまっていると…
最近、パスワード管理ソフトを本気で使ったほうがいいのかなぁと思い、いろいろ試してみたりしている。今はEnpassというのを試しに使用中。ローカル保存型で、標準でDropboxなどのクラウドストレージへの同期もできたりする。Chromeの拡張機能がありショート…
OracleのMySQLで重大な脆弱性があり(ITmedia)、Oracleとしては10月のパッチで対策する予定のようだが、VPSには「8/30までに対策済」とされるMySQLのフォーク版であるMariaDBを入れてある(もちろん更新済)。こういう重大なセキュリティ脆弱性には素早く対応し…
サービス等から流出したIDなどのデータが検索できるLeaked Sourceに思いっきりメールアドレスが登録されていた(Dropbox*1、Tumblrなど)ので削除手続きしてみた。普通は検索すると最低限の情報(どこのサービスで流出したか、どのような内容が流出したか)しか…
2段階認証 | プレイステーション® オフィシャルサイト PSN(SEN)にSMSによる2段階認証(2FA)が導入されたが、そこそこ罠がある件について。まず、PS4、ブラビア、PS App、アカウント管理サイト以外(PS3/PSVita(TV含む)/PSP/Xperia)は専用のパスワード(機器設定…
ちょっと急ぎ目に書く。Let's Encryptが利用規約更新についてのメールを配信した所、システムのバグにより配信先メールアドレスがBodyに出てしまい、Let's Encryptユーザーの一部に対して流出してしまった模様。自分のアドレスも見事に流出。 公開するなよ!…
rita.xyzはAmazon CloudFrontを用いてS3内のコンテンツを配信している。何気にAmazon Certificate Manager(ACM)でSSL用の証明書を取得してSSL通信可能にしてみようと思ったが、ACMはメールでのドメイン認証が必要。あいにくrita.xyzにはMXレコードを設定して…
