Let’s Encrypt シールを作成 一般公開を開始【非公式】


常時SSL/TLS(HTTPS)化のサイトが多くなり、また常時SSL/TLS化の助けになるLet’s Encrypt。
2017年はマストドン(Mastodon)の流行によりLet’s Encryptを紹介する記事も多くなってきました。

今回、Let’s Encryptを使用しているサイトが、Let’s EncryptによるSSL/TLSであることを簡単にWebサイトを訪れた人にお知らせできるようにシールを作成しました。

Let’s Encrypt サイトシールの使い方

Let’s Encrypt サイトシールを使う場合には、以下のようにサイトにアクセスしてください。

弊社サイトの左メニューにあるサイトシールは、同じ仕組みを使用したものとなります。
設定すると、次のようなサイトシールが表示されます。サイズは 160×56ピクセルで作成しています。

DOMAIN_NAMEの部分には、Let’s Encryptで運用しているWebサイトのドメイン名(FQDN)を指定します。

このURLにアクセスすると、指定したDOMAIN_NAMEにアクセスして証明書を確認し、有効期限などをプリントした証明書シールが表示されます。
シールはPNG形式の画像です。サイズは 160×56ピクセルで作成しています。

HTTPSでアクセスされた場合のみ表示させたい場合には、次のようなコードをサイトに埋め込んでください。

サイトシールは、24時間のキャッシュを持ちます。キャッシュは、最初のアクセスから24時間で削除され新しいシールに更新されます。

制限事項

  • 本シールは公式のサイトシールではありません
  • 不正なアクセスが確認された場合には公開を停止することがあります
  • 本サイトシールのURLは変更になる場合があります。変更の場合には、当サイトで告知いたします

本サイトシールについては、info@infocircus.jp または、メニューの「お問い合わせ」から、お問い合わせください。


RapidSSLでHTTPS接続時だけシールを出すJavaScript


WEBサイトの常時HTTPSというのがメジャーになってきました。
このサイトも2015年の夏に常時HTTPS接続に変更しました。

高価なSSL証明書の場合には、サイトシールという「このHTTPSは有効期限内で有効な証明書です」という機能が準備されています。

しかし、低価格で使いやすい RapidSSLでは、このサイトシールが用意されていません。
証明書シールは、RapidSSLサイトからダウンロードして、自分のサイトに貼り付けてくださいと言うものです。

ただ貼り付けただけでは、HTTPS接続されたときに安心していただけるようなシールになりません。

今回は、HTTPSで接続したときにサイトシールを表示する簡単なJavaScriptを紹介します。

このコードをページに貼り付けるだけで「HTTPS接続の時だけRapidSSLのサイトシールを表示」するようになります。

簡単に対応できるので、RapidSSLで常時HTTPS設定にしている方はご利用ください。


HTTPSセキュリティ強度を上げるApache httpdの設定


皆さん こんにちは @infocircus です。
SSLの脆弱性対応や緊急度の高いセキュリティ対応が多かった2014年ですが、2014年度の年度末と言うこともあり設定を再確認しています。

まずは、Linuxディストリビューションの標準設定で SSLを有効にした場合のSSL強度を測定してみました。
設定した項目は、SSLの秘密鍵と証明書・中間証明書だけの状態です。
新しいディストリビューションを使用しましたので、最低限 SSLv2 や SSLv3は無効になっています。

SSLのチェックは、GlobalSignの「SSLチェックツール」を使用します。
URL : https://sslcheck.globalsign.com/ja/sslcheck

mod-ssl-config-01

診断の結果は、グレードC。暗号強度などは スコア0でひどい状態です。
見つかった指摘事項は、次のような項目です。

  • セッションはBEAST攻撃を受けやすいかもしれません
  • サーバの設定に弱いcipher suitesを含んでいます
  • サーバはHTTP Strict-Transport-Securityが有効になっていません

このような設定で運用すると、SSLの脆弱性を攻撃される可能性が非常に高くなります。
ディストリビューション標準の設定では、まともな運用は難しいと言うことが確認できました。

これらを直した設定が、以下の設定です。
※) 本設定は Apache 2.2系 2015/03/17時点で有効な設定です。

再度「SSLチェックツール」で検査したところ、グレードA-まで改善。
BEAST攻撃の対策が残っていますが、実運用上は問題ない設定になりました。

mod-ssl-config-02

2014年は SSLなどで非常に危険な脆弱性が発見されました。HTTPS/SSLの設定が正しいか、HTTPS通信に弱い部分が無いかを見直してみてはいかがでしょうか。


SHA2(SHA-256)対応 SSL証明書への切り替え


2014年は、OpenSSL脆弱性やSSLv3の脆弱性などセキュリティ対応の多い年でした。
そして、まだ話題になることは少ないのですが 2015年にはSSL(HTTPS)で使用している署名アルゴリズム SHA-1が廃止となります。

実は、後1年後という話ではなく、Google Chromeなどは2015年の年明け早々から警告を表示するなどのロードマップが示されています。

これからSSL証明書を取得する場合には、早め早めで SHA-2(SHA-256)への切り替えをしていく必要があります。
今回、SSL証明書の切り替えがありましたので、SHA-2(SHA-256)の申請(CSR作成)の流れを紹介します。

ここでは、秘密鍵の生成は省略していますが、秘密鍵も毎年交換することをお勧めします。

署名アルゴリズム SHA-2(SHA256)の証明書発行要求(CSR)ファイル作成

-sha256 のパラメータをつけることで、SHA2(SHA-256)のCSRファイルを生成することが出来ます。

CSRファイルを生成したら、申請の前に以下のコマンドで内容に間違いが無いかを確認します。

注目する部分は、Subject と Signature Algorithm の行になります。
Subject で表示されている 国,都市や組織名に間違いが無いこと、Signature Algorithm で sha256WithRSAEncryption など SHA-2 の署名アルゴリズムになっていることを確認します。

後は、通常のCSRからSSL証明書の取得の流れと同様に申請を行い新しいSHA-2対応の証明書を組み込みます。


SSL 3.0 無効化 確認方法(opensslコマンド)


SSL 3.0の問題は対応済みでしょうか? 以前、Apache+mod_sslでのSSL 3.0無効化手順 をまとめましたが、本当にSSL3.0が無効になっているかを確認する方法をご紹介いたします。

実行は Apache+mod_sslが動いているサーバーや外部の端末のどちらからでも確認できます。 この確認方法は、サーバーに依存せずに SSL3.0が有効になっていないことを確認する方法ですので、NginxやIISなどの確認にも使用できます。

SSL3.0が無効になっているかの確認コマンド

実行するコマンドは、以下の通り

実際に SSL3.0を無効にしたサーバーにコマンドを実行すると、次のような応答があります。

最初の「sslv3 alert handshake failure」が表示されていれば SSL3.0が無効になっています。

設定したつもりで設定忘れなどがあると大変ですので、コマンドを実行して 確実にSSL3.0が無効になっているかの確認が必要ですね。


WordPress管理画面への不正アクセス集計 2014年10月版


あるサイトの2014年10月のWordPress管理画面への不正アクセスを集計してみました。
不正アクセスの回数が多いので、対数グラフになっています。

wp-403-201410
※) クリックすると大きな画像で表示します。

1日最大81,737回の不正アクセスがあったのは10月10日(2014年9月は、9/12の20,830回)。
これ以外にもIP電話(SIP)やDNSの攻撃など、毎日かなりの不正アクセスが記録されています。

以下のグラフは、2014年9月の集計グラフです。

wp-403-201409

1サイトでも、これだけの不正アクセスがあります。日々の運用で確認が必要ですね。


SSL 3.0 を無効にする設定(Apache/mod_ssl):「POODLE」脆弱性対策


SSL 3.0で脆弱性が発見されました。

Apache+mod_sslを使っている環境で SSL 3.0 には、次のように設定を書き換えて再起動します。

通常は -SSLv2 だけですので -SSLv3 を追加します。
設定を保存したらApache httpdを再起動します。

これでSSL3.0が無効となります。

ただ、SSL3.0を無効とした場合、一部のフィーチャーフォン(携帯電話)でhttpsの通信が出来なくなります。


FOSTEX 様 製品紹介CGビデオ作成の裏側


ご縁があり フォスター電機株式会社 フォステクスカンパニー 様のAR-4i,AR-101,PX-5の製品紹介CGムービーを作成させていただく機会がありました。

まだ国内にもプロトタイプしか存在しないという状態から制作が始まった3本です。
紹介CGムービーができあがっても、商品の完成版を見ていない物もあります。
発売してから作成したのでは遅いので、先行して紹介ムービーを作成することになりますが、実際の商品をみたら「おや?!作りが違ってる!!」と驚いたことも。

今回は、その作成した製品紹介CGムービー3本をご紹介いたします。

FOSTEX AR-4i(JPN)

FOSTEX AR101(JPN)

FOSTEX PX-5 Professional Monitor Speaker

CGというのは時間がかかって手間もかかりますが、商品の内容や使い方・特徴を伝えるには良い方法だと思って作成しております。
これからも製品紹介CGを作成していきますが、商品のよさがつたわる紹介ムービーになるように心がけて制作していこうと思います。


Asterisk への SIP 不正アクセスのログサンプル公開


先日、AsteriskへのSIPアカウントを乗っ取られないためのスクリプトを本サイトで紹介いたしました。

今回は、実際に運用しているAsteriskにSIPアカウントを乗っ取るための不正アクセスがあった時のログをご紹介いたします。
このアクセスは、実際にパレスチナのホストを経由してSIPに不正アクセスがあった例です。

実際には、1秒の間に数百のSIP認証のリクエストが送られてきます。

弊社の環境は週に2,3回、また特定の日(ある規則性があります)には1日中の不正アクセスが数日間続くと言うこともあります。

インターネット経由でコミュニケーションの取れるIP電話は非常に便利ですが、キャリアのサービスではなくAsteriskを自社で立ち上げ外部との接続をしている環境では注意が必要です。
Asteriskを運用している方は十分ご注意ください。
IP電話運用で、不安なことなどありましたらお気軽にお問い合わせからお問い合わせください。


「Asterisk PBX 不正利用防止」 文章の公開について


IP電話は非常に便利です。
オープンソースのAsteriskを使用するとPBXや内線端末を購入しなくても内線電話環境を構築できます。

しかし、Asteriskが外部からアクセスできる環境を狙ってアカウントを乗っ取り、不正に海外などへ電話を発信する不正アクセスが増えています。

弊社で開発しているIP-PBX LinuxBoxでは、この不正アクセスを防止するための仕組みが組み込まれています。

今回、「Asterisk PBX 不正利用防止 – 不正アクセス対策環境の構築」という文章を作成し不正アクセスを防止するための仕組みをAsteriskで使える汎用的なスクリプトに変更し、多くの環境で利用できるようにしました。

不正アクセスによる被害が無くなるため、お役に立てれば幸いです。

「Asterisk PBX 不正利用防止 – 不正アクセス対策環境の構築」

不正アクセスの被害を最小限にするために
本スクリプトを組み込む前に、不正アクセスの被害を最小限に食い止めるために、以下の確認をおすすめいたします。

  • 契約している電話回線で海外への電話発信を止められるかを確認
  • 同じように通話料のかかるQ2回線などへの発信を規制する
  • SIPアカウントのパスワードに単純なパスワードが指定されてないかを確認
  • どこからか持ってきたサンプルのコピー&ペーストが残っていないかを確認
  • Asteriskのサンプルアカウントが有効なまま残っていないかを確認
インフォサーカス・インコーポレイテッド
スタッフ一同