自堕落な技術者の日記

基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通

Chrome

2017年08月11日04:43
カテゴリ
Chrome
SSL証明書

(小ネタ) Chrome 60で証明書を表示させるフラグ設定

Chrome 56からGoogleの「素人はすっこんでろ」UI/UXポリシーによりHTTPSで接続した際に使用しているSSLサーバー証明書の表示が鍵アイコンから簡単にできなくなってしまいました。証明書大好きっ子にはなんとも辛い仕打ちでした。開発ツールからは証明書が表示できるので、メニューを辿って操作するか、ショートカットキーを素振り100回していた方も多いのではと思います。

Windows: Ctrl + Shift + I or F12
Mac: ⌘ + Opt + I

今日は、やっとChrome 60からフラグ設定で証明書が簡単に表示できるようになったので、今日はその設定について紹介します。

何も設定していないと、HTTPSサイトを見ている際の、鍵アイコンをクリックして見られるメニューはこんな感じ。
before
そこで、アドレスバーで以下のように入力します。

chrome://flags/#show-cert-link
すると、このようなフラグ設定が表示されます。
flag
「有効にする」をクリックし、指示に従ってブラウザを再起動します。すると、HTTPSサイトを表示した場合このように
after
「証明書、有効」というリンクが表示されるようになり、クリックすると証明書が表示されるようになります。いや〜〜、よかった、よかった。
52

タグ :
#Chrome
#SSLサーバー証明書
#証明書
#SSL
#TLS
#HTTPS
#フラグ
#設定フラグ
  • kjurk_urushima
  • コメント( 0 )
  • このエントリーをはてなブックマークに追加
2015年09月26日00:01
カテゴリ
Chrome
Certificate Transparency

(小ネタ)ソニーSENのChromeの警告

なんかソニーのログインページでCertificate Transparency情報がないせいでアドレスバーが赤くなったとかいうのをTLで見かけた気がしたので、ソニー本家のところに行ってみるもハズレ。Sony Entertainment Network(SEN)のログインページに行ってみたら、確かに赤かった。(2015年9月25日 23:54時点) とりあえず、魚拓をはっておく。
23
Certificate Transparency(以下CT)に関しては、以下のように書かれている。

(ダイアログより引用)
このウェブサイトの識別情報が PositiveSSL CA 2 によって確認されました。証明書の透明性に関する情報がサーバーから提供されませんでした。
PositiveSSLはCOMODO系の認証局なんですが、最初、EVでCT情報がないと アドレスバーが緑にならないというのの現象なのかと思ったが、 考えてみたら赤になることもない。

よくよくみてみると、SHA1証明書で有効期限が2017年9月17日だったという、 ただ、それだけだった。がっくし。

  • kjurk_urushima
  • コメント( 0 )
  • トラックバック( 0 )
  • このエントリーをはてなブックマークに追加
2015年03月19日20:57
カテゴリ
SSL証明書
Chrome

ChromeのSHA1証明書対応計画の一部延期(2015年3月12日発表)

2015年3月12日、Googleのフォーラムで、 Chrome開発チームでクロスプラットフォームの暗号・PKIコアの開発を担当しているRyan Sleevi氏から、 Chrome 41のリリースをSHA-1証明書の警告表示のマイルストーンとしていたものを Chrome 42に遅らせるとアナウンスがありました。

具体的にChromeバージョンとリリース時期と表示される警告アイコンは、以前の計画では 以下のようになっていたものが
chromesha1-1
以下のようにChrome 41の箇所がChrome 42で変更が反映されるようになり、 1ヶ月半スケジュールが遅れるようになったという事です。
chromesha1-2

SHA1証明書警告表示の影響有無の簡単な確認方法

あるサイトがSHA1証明書の警告表示の影響があるかどうかは、 簡単に確認できるツールを提供しているところが2つほどあります。

このDigiCertのやつはオススメで確認したいドメインを入力し「LOOKUP」ボタンを押せば、各Chromeのバージョンでどのように警告表示されるのかわかります。
chromesha1-3
(出典:DigiCert SHA-1 Sunset Tool)

証明書発行サービスの対応状況

2015年3月7日のGoogleからの発表を受けて、 2015年3月17日時点で証明書発行サービス各社が、掲載情報を更新したかどうか 調べてみました。

おわりに

以上、3月12日のGoogleからの発表を受けて、遅くなりましたが、 Google ChromeのSHA1証明書警告表示の一部延期について説明しました。 今日はこの辺で。

追記1

おっと、一言言い忘れた。GoogleのSecurity-devフォーラムでちょっと書かれたやつを以て、こんな大事な事を「アナウンスした」とするのは、Googleさんはちょっと誠意がなさすぎるし、ひどすぎるなと、、、せめてChrome Releasesのページなどでは紹介して欲しいし、ブログでも整理して解説して欲しいし、日本語の公式な情報も欲しいなぁと思いました。

タグ :
#Chrome
#SHA1withRSA
#SHA1証明書
#2017年1月
#警告表示
#HTTPS
#SSLTLS
#Chrome42
#延期
  • kjurk_urushima
  • コメント( 0 )
  • トラックバック( 0 )
  • このエントリーをはてなブックマークに追加
2015年03月19日20:57
カテゴリ
SSL証明書
Chrome

ChromeのSHA1証明書対応計画の一部延期(2015年3月12日発表)

2015年3月12日、Googleのフォーラムで、 Chrome開発チームでクロスプラットフォームの暗号・PKIコアの開発を担当しているRyan Sleevi氏から、 Chrome 41のリリースをSHA-1証明書の警告表示のマイルストーンとしていたものを Chrome 42に遅らせるとアナウンスがありました。

具体的にChromeバージョンとリリース時期と表示される警告アイコンは、以前の計画では 以下のようになっていたものが
chromesha1-1
以下のようにChrome 41の箇所がChrome 42で変更が反映されるようになり、 1ヶ月半スケジュールが遅れるようになったという事です。
chromesha1-2

SHA1証明書警告表示の影響有無の簡単な確認方法

あるサイトがSHA1証明書の警告表示の影響があるかどうかは、 簡単に確認できるツールを提供しているところが2つほどあります。

このDigiCertのやつはオススメで確認したいドメインを入力し「LOOKUP」ボタンを押せば、各Chromeのバージョンでどのように警告表示されるのかわかります。
chromesha1-3
(出典:DigiCert SHA-1 Sunset Tool)

証明書発行サービスの対応状況

2015年3月7日のGoogleからの発表を受けて、 2015年3月17日時点で証明書発行サービス各社が、掲載情報を更新したかどうか 調べてみました。

おわりに

以上、3月12日のGoogleからの発表を受けて、遅くなりましたが、 Google ChromeのSHA1証明書警告表示の一部延期について説明しました。 今日はこの辺で。

追記1

おっと、一言言い忘れた。GoogleのSecurity-devフォーラムでちょっと書かれたやつを以て、こんな大事な事を「アナウンスした」とするのは、Googleさんはちょっと誠意がなさすぎるし、ひどすぎるなと、、、せめてChrome Releasesのページなどでは紹介して欲しいし、ブログでも整理して解説して欲しいし、日本語の公式な情報も欲しいなぁと思いました。

タグ :
#Chrome
#SHA1withRSA
#SHA1証明書
#2017年1月
#警告表示
#HTTPS
#SSLTLS
#Chrome42
#延期
  • kjurk_urushima
  • コメント( 0 )
  • トラックバック( 0 )
  • このエントリーをはてなブックマークに追加
2015年01月19日20:19
カテゴリ
暗号プログラミング
Chrome

W3C Web Cryptography APIとの果てしなき戦い(第3回 動くサンプル1)

前回はW3C Web Cryptography APIの鍵生成、署名などについて説明しましたが、実際に動く実例がないとAPIの有り難みもわかないのかなと思いまして、とりあえず3つのサンプルを作ってみました。サンプルはChromeやFirefoxでは動くようになっています。画像をクリックするとサンプルページが開くようになっています。

ハッシュ関数


wc-hash
ハッシュアルゴリズムを選んで、ハッシュ計算したい文字列(UTF-8だから日本語も可能)を入力して、「ハッシュ計算」のボタンを押すだけで、16進数でハッシュ計算結果が表示されます。

公開鍵ペアの生成


wc-genkey
RSA公開鍵ペアを生成します。W3C Web Cryptography APIでは、鍵生成やインポートの際、どのような用途で、どのようなハッシュ関数と一緒に使用するかを指定する必要があるようで、生成時に選択するようにしていますが、PKCS#8 で秘密鍵や公開鍵をエクスポートする際には、まぁ、関係のない話になってしまいます。PKCS#8のバイナリデータ(ArrayBufferView)をPEM形式に変換するのにjsrsasignライブラリを使っています。

RSA鍵による署名と検証


wc-sigver
RSA鍵でUTF-8の文字列に対してSHA256withRSA署名アルゴリズムで署名と署名検証ができます。鍵はW3C Web Cryptography APIで内部生成した鍵ペアで署名と署名検証することもできますし、PKCS#8 PEM形式やJSON Web Key(JWK)フォーマットの秘密鍵や公開鍵をインポートして署名や署名検証することもできます。

サンプルの動作環境

これらのサンプルページは新しいChromeのWindows、Android、Mac OS X、Linux版、新しいFirefoxのWindows、Mac OS X、Android版で動作します。Safariでは一部がMac OS X版、iOS8+などで動作します。Internet ExplorerではPromise APIをサポートしていないので動作しません。IEでも動作するようにコード書くのはちょっと面倒で、それらの相互運用性を持たせるような実装の仕方については別途紹介しようかと思っています。

おわりに

とりあえず、いろんなブラウザでW3C Cryptography APIの動作を試してみることができるので、遊んでやってください。ソースコードはgithubに置いてあるのでご覧ください。FirefoxとChromeだけでも相互運用性持たせるのに結構壁にぶちあたったりして、その上、SafariやIEなども一緒にサポートするコードを書くのはかなり骨が折れるんですよね。でも、AndroidのFirefoxでも動くのを見ると、ちょっと目がうるうるしてきたりしますw。今日はこのへんで。

関連記事

タグ :
#W3CWebCryptographyAPI
#W3C
#Cryptography
#API
#暗号ライブラリ
#署名
#インポート
#JavaScript
#RSA
#RSA署名
  • kjurk_urushima
  • コメント( 0 )
  • トラックバック( 0 )
  • このエントリーをはてなブックマークに追加
記事一覧(手作り)
カテゴリ | | | 出張・旅行 | XAdES | SSL証明書 | OpenSSL | タイムスタンプ | コード署名 |
はてなブックマーク
された記事
最新記事
Mozilla FirefoxのCRLiteで遊ぶ (moz_crlite_queryの話)
(小ネタ)サンフランシスコに行った時のSIM(Lycammobile)の話(2018年7月版)
Google Open Source Peer Bonus Award受賞しちゃいました
jsrsasignの寄付金を募ることにしてみました(やりがいって何だっけ?)
最近の証明書の話題(3): デジタル証明書形式の電子委任状のプロファイルに関する考察
最近の証明書の話題(2): CloudFlare DNS 1.1.1.1サイトのIPv6証明書
最近の証明書の話題(1) 韓国政府PKIのマズいワイルドカード証明書発行
(小ネタ) Chrome 60で証明書を表示させるフラグ設定
GmailアカウントでS/MIME 署名/暗号メールを使う(その1 iOS標準メーラー編)
Amazon AWSの認証局が少し怪しい件
追悼 Adobe CDS
HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える
X.509証明書の識別名などで使われるMulti-valued RDNとjsrsasignのサポートについて
バルセロナでプリペイドSIMの購入(2016年11月版)
ヨーロッパでPokemon Goに最適?なSIMフリースマホ
SSL Pulseの統計情報でみるSSL/TLSの引越しについて
SSL Pulseの統計情報で見るSSL/TLS (2015年12月版)
(小ネタ)Let's Encryptベータ証明書発行記念!11/5までの本番環境の証明書発行推移
SSL Pulseの統計情報で見るSSL/TLS (2015年10月版)
Deep Inside Certificate Transparency (その1)
(小ネタ)ソニーSENのChromeの警告
(小ネタ)スマホでS/MIME署名・暗号メール使うならdocomoはおやめなさい
Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行???
SSL Pulseの統計情報で見るSSL/TLS (2015年8月版)
SSL Pulseの統計情報で見るSSL/TLS (2015年6月版)
CRYPTREC/IPA「SSL/TLS暗号設定ガイドライン」の公開と非公式設定ファイル生成ツールの公開
SSL Pulseの統計情報で見るSSL/TLS (2015年5月版)
Windows信頼するルート認証機関コンプへの道(第一回)
「RFC 7525 TLSとDTLSの安全な利用に関する推奨事項」の公開
Windowsルート証明書の更新プログラム(2014.09)と戯言など
I♡S/MIME(Mac、iPhone、Outlook 2013、Office 365のS/MIME署名暗号メールの設定与太話)
ISO/IEC 18014-4 Time-stamping services - Part 4: Traceability of time sourcesの制定について
(小ネタ)来月にはSHA2証明書の枚数がSHA1を追い越しそうな件
世の中のDSAやECDSA公開鍵のサーバー証明書の利用状況
ChromeのSHA1証明書対応計画の一部延期(2015年3月12日発表)
SSL Pulseの統計情報で見るSSL/TLS (2015年3月版)
go.jpドメインのHTTPSサイトの状況について私もみてみました(2015年3月4日時点)
(小ネタ)4月10日(金)のJNSA PKI Day 2015でSSL/TLSの話をさせてもらいます
SSL Pulseの統計情報で見るSSL/TLS (2015年1月版)
W3C Web Cryptography APIとの果てしなき戦い(第3回 動くサンプル1)
W3C Web Cryptography APIとの果てしなき戦い(第2回 RSA署名生成と検証)
W3C Web Cryptography APIとの果てしなき戦い(第1回)
Chrome 39安定版のリリースと、有効期限が2017年1月以降のSHA1証明書の警告表示
Internet Week 2014パネルで話しそびれたネタ2: イントラ内でSSLサーバー設定を確認するツールsslaudit
Internet Week 2014パネルで話しそびれたネタ: 統計情報でみるSSL/TLS
POODLE対策としてのApache TomcatのSSL/TLSプロトコルバージョンの設定方法の調査
(続き1)POODLE攻撃について本当にTLSv1.0なら安全なのか?(OpenSSLは安全)
POODLE攻撃について本当にTLSv1.0なら安全なのか?
様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新3)
全くスマートじゃないスマートウォッチARES EC309を買ったぜっ!
自前管理サイトリンク
自堕落な技術者のヰキ(公開版)
Favotter (@kjur)
自堕落な技術者のためのヰキ避難所(限定)
自堕落な技術者のヰキ(公開版跡地)
FriendFeed (@urushima)
Twitter (@kjur)
Twilog (@kjur)
Ourdoings (@kjur)
Flickr (@kenji-urushima)
Flickr (@kenji-urushima2)
Googleプロフィール(kenji.urushima)
セキュリティ関連リンク
ウィルス・マルウェア関連
リンク集一覧
Categories
Archives
Twitter
記事Google検索

本ブログ内をGoogle検索
Yahoo!アクセス解析
Travel Advisor

Cities I've visited.
記事検索
タグクラウド
QRコード
QRコード
  • ライブドアブログ