kurushima @ 自堕落な技術者のヰキ(公開版)
http://w.atwiki.jp/kurushima/
kurushima @ 自堕落な技術者のヰキ(公開版)
ja
2020-06-01T07:46:34+09:00
1590965194
-
OpenSSL/やりたい事から探すコマンド実行例
https://w.atwiki.jp/kurushima/pages/31.html
OpenSSL/やりたい事から探すコマンド実行例
OpenSSLは、コマンドオプションがたくさんありすぎて
どう実行すればよいのかすぐ忘れます。
ここに備忘録のため「目的をベース」に実行例を残していこうと思います。
*** 鍵の生成
&color(yellow){PKCS#1 RSA秘密鍵の生成}
% openssl genrsa -out aaa.prvkey 1024
&color(yellow){PKCS#1 DSA秘密鍵の生成}
% openssl dsaparam -out aaa.prm 1024
% openssl gendsa -out aaa.prvkey aaa.prm
&color(yellow){PKCS#1 ECDSA秘密鍵の生成}((ECDSAにはgen*オプションは無いらしいので証明書発行要求のついでに生成する))
% openssl ecparam -out ec.prm -name prime192v1
% openssl req -new -newkey ec:ec.prm -keyout ec.prvkey -nodes -out ec.req -subj /C=JP/O=T1; rm -f ec.req
&color(yellow){PKCS#1 RSA/DSA秘密鍵から保護しないPKCS#8鍵への変換}((Challenge PKI Test Suiteを使う場合にKey Managerのところでは、PKCS#8の保護しない秘密鍵を使います))
% openssl pkcs8 -in prvkey.pem -out p8.pem -topk8 -nocrypt
&color(yellow){暗号化されたPKCS#1 RSA秘密鍵の生成}
% openssl genrsa -out prvkey.pem -des3 -passout pass:passwd 2048
*** 証明書の生成
&color(yellow){(1) PKCS#1秘密鍵からPKCS#10を経ず名前を指定して自己署名ルート証明書の生成}
% openssl req -new -key aaa.prvkey -x509 -subj /C=JP/O=TEST1 -set_serial 1 -days 3652 [-sha256] -out aaa.cer.pem
&color(yellow){(2) (1)と同じでmultivalue RDNの場合(DERでSET OFは自動ソートされるのでO=T, O=TTTTTの順になる)}
% openssl req -new -key t.prv -x509 -subj "/C=JP/O=TTTTT+O=T" -set_serial 1 -days 3652 -multivalue-rdn -out t.cer
&color(yellow){(3) (1)と同じで拡張を一つ追加する(addext)。上書き不可}
openssl req -new -key aaa.prvkey -x509 -subj /C=JP/O=T1 -set_serial 1 -days 3652 -sha256 -out aaa.cer.pem -addext subjectAltName=IP:192.168.1.1
&color(yellow){(4) (1)と同じで拡張群を設定する。設定ファイルaaa.cfgのmyext1セクションンにある拡張を設定する}
openssl req -new -key aaa.prvkey -x509 -subj /C=JP/O=T1 -set_serial 1 -days 3652 -sha256 -out aaa.cer.pem -config aaa.cfg -extensions myext1
*** 証明書からの情報取得
&color(yellow){証明書からの情報の取得}
% openssl x509 -in aaa.cer.pem -noout -text
&color(yellow){X.509証明書のRSA/DSA公開鍵のモジュラスの取得}((RSAならモジュラス、DSAなら公開鍵Y、ECDSAならModulus=Wrong Algorithm typeエラー))
% openssl x509 -in aaa.cer.pem -noout -modulus
Modulus=1F2F...
&color(yellow){証明書のSubject Public Key InfoからPKCS#8形式の公開鍵を取り出す}
% openssl x509 -in aaa.cer.pem -noout -pubkey > aaa.p8pub.pem
*** 証明書関連 (その他)
&color(yellow){PEMテキストからDERバイナリへの変換}
% openssl x509 -inform PEM -in aaa.cer.pem -outform DER -out aaa.cer.der
&color(yellow){DERテキストからPEMバイナリへの変換}
% openssl x509 -inform DER -in aaa.cer.der -outform PEM -out aaa.cer.pem
*** 鍵ストア PKCS#12関連
&color(yellow){証明書(PEM)ファイルと秘密鍵(PEM)ファイルからPKCS12を生成する}
% openssl pkcs12 -export -inkey 秘密鍵 -in 証明書 -out PKCS12ファイル
&color(yellow){PKCS#12ファイルの内容を表示する}
% openssl pkcs12 -in PKCS12ファイル -info
*** OCSPオンライン証明書状態プロトコル
&color(yellow){OCSP要求ファイルの内容表示}
% openssl ocsp -reqin req.der -text
&color(yellow){OCSP応答ファイルの内容表示}
% openssl ocsp -respin res.der -text -noverify
&color(yellow){URL指定されたOCSPレスポンダとの通信による証明書の状態の確認}
% openssl -ocsp -issuer ca.cer -cert ee.cer -url http://ocsp.foo.com -resp_text -respout resp.der
2020-06-01T07:46:34+09:00
1590965194
-
ソフトウェア/Mac初期設定
https://w.atwiki.jp/kurushima/pages/125.html
MacPortsの基本的な使い方とコマンド
http://blog.asial.co.jp/371
Microsoft Office製品ラインナップ
http://products.office.com/ja-JP/buy/compare-microsoft-office-products
みんなのMacにインストールされているアプリ 2014
http://veadardiary.blog29.fc2.com/blog-entry-4000.html
***Firefox Addons
-Adblock Plus
-User Agent Switcher
-VideoDownload Helper
***From App Store
- Microsoft Remote Desktop
***MacPorts installed
- bzip2
- nkf
- wget
***Others
- MacPorts
- Chrome
- Firefox
- Xcode
- Avast Mac Security (or McAfee)
- Emacs for Mac OS X (emacsformacosx.com/)
- BitTorrent Sync
- WireShark
2015-05-06T09:35:46+09:00
1430872546
-
ソフトウェア/コマンド備忘録
https://w.atwiki.jp/kurushima/pages/124.html
いやぁ、オレも歳だね
*** 7zip
> 7za a -mhe -p[PASSWORD] [ARCHIVEFILE] [FILE1] [FILE2] ...
2015-05-01T15:53:29+09:00
1430463209
-
講演フォロー/PKIDay2015
https://w.atwiki.jp/kurushima/pages/123.html
[[JNSA PKI Day 2015>http://www.jnsa.org/seminar/pki-day/2015/]]の講演「SSL/TLS生誕20年、脆弱性と対策を振返る」とパネル「SSL/TLSの実装が進むべき道を語ろう」の補足情報を、講演後にこのページで公開します。
*講演スライドの差し替え(2015年4月10日(金) 15:48)
講演「SSL/TLS生誕20年、脆弱性と対策を振返る」につきまして、[[JNSAサイト>http://www.jnsa.org/seminar/pki-day/2015/]]で公開しているものから、スライドを6枚追加させて頂きました。最新版がJNSAサイトでダウンロードできますのでご利用ください。
- [[JNSAサイト最新マージ版PDF(1.8MB)>http://www.jnsa.org/seminar/pki-day/2015/data/2-1_urushima.pdf]]
パネルの際の資料につきましては、後日JNSA様と調整の上、公開させて頂く予定です。
2015-04-12T20:33:15+09:00
1428838395
-
OpenSSL/InternetWeek2014/CiphersMozillaModern
https://w.atwiki.jp/kurushima/pages/122.html
* Mozillaの推奨するModern設定
> ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:
> ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:
> DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:
> ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:
> ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:
> ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:
> DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:
> DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:
> !DES:!RC4:!3DES:!MD5:!PSK
>
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ECDHE-RSA-AES128-GCM-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDHE-ECDSA-AES128-GCM-SHA256)
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA386 (ECDHE-RSA-AES256-GCM-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (ECDHE-ECDSA-AES256-GCM-SHA384)
> TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (DHE-RSA-AES128-GCM-SHA256)
> TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (DHE-DSS-AES128-GCM-SHA256)
> TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (DHE-DSS-AES256-GCM-SHA384)
> TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (DHE-RSA-AES256-GCM-SHA384)
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ECDHE-RSA-AES128-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (ECDHE-ECDSA-AES128-SHA256)
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ECDHE-RSA-AES128-SHA)
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (ECDHE-ECDSA-AES128-SHA)
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ECDHE-RSA-AES256-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (ECDHE-ECDSA-AES256-SHA384)
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ECDHE-RSA-AES256-SHA)
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (ECDHE-ECDSA-AES256-SHA)
> TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (DHE-RSA-AES128-SHA256)
> TLS_DHE_RSA_WITH_AES_128_CBC_SHA (DHE-RSA-AES128-SHA)
> TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (DHE-DSS-AES128-SHA256)
> TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (DHE-RSA-AES256-SHA256)
> TLS_DHE_DSS_WITH_AES_256_CBC_SHA (DHE-DSS-AES256-SHA)
> TLS_DHE_RSA_WITH_AES_256_CBC_SHA (DHE-RSA-AES256-SHA)
2014-11-26T09:55:47+09:00
1416963347
-
OpenSSL/InternetWeek2014
https://w.atwiki.jp/kurushima/pages/108.html
*InternetWeek2014:S14 サイト管理者が知っておくべきSSLの秘孔(ツボ) 講演「サーバーのSSL/TLS設定のツボ」サポートページ
[[2014年11月20日に行われたInternet Week 2014 S14のSSLサーバー設定方法の講演>https://internetweek.jp/program/s14/]]の補足情報、設定ファイルのダウンロードなど提供しています。
** ニュース
-2014.11.24 23:00 講演で紹介した3分類でのApache HTTP Server, nginx, lighttpdの設定方法を公開しました。
-2014.11.21 12:18 講演資料の一般公開は来年1月になると聞いております。
-2014.11.21 11:21 設定ファイルサンプル等は今週末(11/22-24)追加させて頂く予定です。また、パネル用に準備してボツになった情報などもブログ公開する予定ですので、しばしお待ちを。
** ほぼコピペで使える(はずの)設定例
-Apache HTTP Serverの設定
-- [[最新ブラウザ対応設定>OpenSSL/InternetWeek2014/ConfigApacheModern]]
-- [[レガシーを含む高互換性対応設定(RC4危殆化重視)>OpenSSL/InternetWeek2014/ConfigApacheBwCompatCBC]]
-- [[レガシーを含む高互換性対応設定(BEAST,POODLE系CBC危殆化重視)>OpenSSL/InternetWeek2014/ConfigApacheBwCompatRC4]]
-nginxの設定
-- [[最新ブラウザ対応設定>OpenSSL/InternetWeek2014/ConfigNginxModern]]
-- [[レガシーを含む高互換性対応設定(RC4危殆化重視)>OpenSSL/InternetWeek2014/ConfigNginxBwCompatCBC]]
-- [[レガシーを含む高互換性対応設定(BEAST,POODLE系CBC危殆化重視)>OpenSSL/InternetWeek2014/ConfigNginxBwCompatRC4]]
-lighttpdの設定
-- [[最新ブラウザ対応設定>OpenSSL/InternetWeek2014/ConfigLighttpdModern]]
-- [[レガシーを含む高互換性対応設定(RC4危殆化重視)>OpenSSL/InternetWeek2014/ConfigLighttpdBwCompatCBC]]
-- [[レガシーを含む高互換性対応設定(BEAST,POODLE系CBC危殆化重視)>OpenSSL/InternetWeek2014/ConfigLighttpdBwCompatRC4]]
※暗号スイートのサーバー側優先設定(SSLHonorCipherOrder on等)について、古いJavaクライアントで接続できなかったとの報告もあり、近いうちに確認してみます。
他の環境についてはしばらくお待ちください。そのうち、jsrsasignを使ってHSTSヘッダ設定を計算する設定生成ツールをつくりたいと思っているので気長にお待ちください。
** 各設定タイプの特徴
- 設定タイプ2「最新ブラウザ対応設定」の特徴
-- 高セキュリティの暗号スイート群
-- 最近のメジャーなブラウザで望ましい暗号スイートが選択される
-- レガシーな環境はサポートしない
-- 暗号スイートで設定可能な様々な昨今の脆弱性対策に対応
-- PFSに関してはユーザ(クライアント)にゆだねる
-- SSLv3を無効化
-- [[本設定の暗号スイートリスト>OpenSSL/InternetWeek2014/CiphersModern]]
- 設定タイプ3「レガシーを含む高互換性対応設定(RC4危殆化重視)」の特徴
-- フィーチャーフォンやゲーム機から最新ブラウザまで幅広い環境に対し適切な暗号スイートを提供
-- RC4暗号危殆化に対応してRC4を外し、代わりにブロック暗号CBCモードが入っている
-- CBCが有効になっている事でBEAST,BREACH,POODLEなどのCBCモード系の攻撃に弱い
-- Internet Explorerでも問題が起きにくい
-- 後方互換性のためSSLv3を有効化
-- レガシー環境では3DES-EDE-CBC-SHAを使用
-- [[本設定の暗号スイートリスト>OpenSSL/InternetWeek2014/BwCompatCBC]]
-- EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH
-- DES-CBC3-SHAの後ろにRC4-SHAを追加した[設定タイプ3+4」のようなものを必要とする人もいるかもしれない
- 設定タイプ4「レガシーを含む高互換性対応設定(BEAST,POODLE系CBC危殆化重視)」の特徴
-- フィーチャーフォンやゲーム機から最新ブラウザまで幅広い環境に対し適切な暗号スイートを提供
-- RC4暗号危殆化に対して弱い
-- CBCが無効になっている事でBEAST,BREACH,POODLEなどのCBCモード系の攻撃に強い
-- 最近のRC4を無効化パッチが適用されたInternet Explorerでは繋がらないケースが発生する
-- 後方互換性のためSSLv3を有効化
-- レガシー環境ではRC4-128-SHAを使用
-- [[本設定の暗号スイートリスト>OpenSSL/InternetWeek2014/BwCompatRC4]]
- (参考)Mozillaの推奨するModern設定
-- 設定タイプ2 + DHE + DSS + AESCBC
-- 後方互換性を必要とせず高いセキュリティを提供
-- Firefox 27, Chrome 22, IE 11, Opera 14, Safari 7, Android 4.4, Java 8 までをサポート
-- [[本設定の暗号スイートリスト>OpenSSL/InternetWeek2014/CiphersMozillaModern]]
- (参考)Qualys社のIvan Ristic氏のPFSを意識した推奨暗号スイート設定の特徴
-- [[PFSに関するブログで紹介されたもの>http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html]]
-- かなり幅広い暗号スイート
-- 設定タイプ3 + 設定タイプ4 + CAMELLIA + SEED + DHE
-- DHEが入っている
-- [[本設定の暗号スイートリスト>OpenSSL/InternetWeek2014/CiphersIvanRistic]]
**TLSサーバー設定で最も参考になるリンク
- Mozilla Wiki: Security/Server Side TLS (超おすすめ)
-- [[https://wiki.mozilla.org/Security/Server_Side_TLS]]
- SSL/TLS Deployment Best Practices by Ivan Ristic of Qualys (おすすめ)
-- [[https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf]]
**関連リンク
[[ScanNetSecurity Internet Week 2014 セキュリティセッション紹介 第6回「S14 サイト管理者が知っておくべきSSLの秘孔(ツボ)」について秋山卓司氏と木村泰司氏が語る>http://scan.netsecurity.ne.jp/article/2014/11/05/35138.html]]
2014-11-26T09:55:23+09:00
1416963323
-
OpenSSL/InternetWeek2014/CiphersIvanRistic
https://w.atwiki.jp/kurushima/pages/121.html
* Qualys社 Ivan Ristic 氏のPFS対応おすすめ暗号スイートリスト
http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
> OpenSSL系の設定パターン(改行は除く)
> EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+
> SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+
> aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
>
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (ECDHE-ECDSA-AES256-GCM-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDHE-ECDSA-AES128-GCM-SHA256)
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ECDHE-RSA-AES256-GCM-SHA384)
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ECDHE-RSA-AES128-GCM-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (ECDHE-ECDSA-AES256-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (ECDHE-ECDSA-AES128-SHA256)
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ECDHE-RSA-AES256-SHA384)
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ECDHE-RSA-AES128-SHA256)
> TLS_ECDHE_RSA_WITH_RC4_128_SHA (ECDHE-RSA-RC4-SHA)
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ECDHE-RSA-AES256-SHA)
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (ECDHE-ECDSA-AES256-SHA)
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ECDHE-RSA-AES128-SHA)
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (ECDHE-ECDSA-AES128-SHA)
> TLS_ECDHE_ECDSA_WITH_RC4_128_SHA (ECDHE-ECDSA-RC4-SHA)
> TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (DHE-RSA-AES256-GCM-SHA384)
> TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (DHE-RSA-AES256-SHA256)
> TLS_DHE_RSA_WITH_AES_256_CBC_SHA (DHE-RSA-AES256-SHA)
> TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (DHE-RSA-CAMELLIA256-SHA)
> TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (DHE-RSA-AES128-GCM-SHA256)
> TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (DHE-RSA-AES128-SHA256)
> TLS_DHE_RSA_WITH_AES_128_CBC_SHA (DHE-RSA-AES128-SHA)
> TLS_DHE_RSA_WITH_SEED_CBC_SHA (DHE-RSA-SEED-SHA)
> TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (DHE-RSA-CAMELLIA128-SHA)
> TLS_ECDH_RSA_WITH_RC4_128_SHA (ECDH-RSA-RC4-SHA)
> TLS_ECDH_ECDSA_WITH_RC4_128_SHA (ECDH-ECDSA-RC4-SHA)
> TLS_RSA_WITH_RC4_128_SHA (RC4-SHA)
2014-11-26T06:25:39+09:00
1416950739
-
OpenSSL/InternetWeek2014/BwCompatCBC
https://w.atwiki.jp/kurushima/pages/119.html
** 設定タイプ3「レガシーを含む高互換性対応設定(RC4危殆化対応重視)」で望まれる暗号スイートのリスト
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_128_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA
** OpenSSLでの暗号スイート指定パターンと結果となる暗号スイートリスト(OpenSSL 1.0.1j)
> EECDH+AESGCM:RSA+AESGCM:EECDH+AES:AES:DES-CBC3-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH
>
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ECDHE-RSA-AES256-GCM-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (ECDHE-ECDSA-AES256-GCM-SHA384)
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ECDHE-RSA-AES128-GCM-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDHE-ECDSA-AES128-GCM-SHA256)
> TLS_RSA_WITH_AES_256_GCM_SHA384 (AES256-GCM-SHA384)
> TLS_RSA_WITH_AES_128_GCM_SHA256 (AES128-GCM-SHA256)
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ECDHE-RSA-AES256-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (ECDHE-ECDSA-AES256-SHA384)
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ECDHE-RSA-AES256-SHA)
> TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (ECDHE-ECDSA-AES256-SHA)
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ECDHE-RSA-AES128-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (ECDHE-ECDSA-AES128-SHA256)
> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ECDHE-RSA-AES128-SHA)
> TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (ECDHE-ECDSA-AES128-SHA)
> TLS_RSA_WITH_AES_256_CBC_SHA256 (AES256-SHA256)
> TLS_RSA_WITH_AES_256_CBC_SHA (AES256-SHA)
> TLS_RSA_WITH_AES_128_CBC_SHA256 (AES128-SHA256)
> TLS_RSA_WITH_AES_128_CBC_SHA (AES128-SHA)
> TLS_RSA_WITH_3DES_EDE_CBC_SHA (DES-CBC3-SHA)
※AES256の方が優先されてしまうが仕方なしとする
※表記:RFC上の暗号スイート名 (OpenSSLの暗号スイート名)
2014-11-26T01:25:35+09:00
1416932735
-
OpenSSL/InternetWeek2014/BwCompatRC4
https://w.atwiki.jp/kurushima/pages/120.html
** 設定タイプ4「レガシーを含む高互換性対応設定(BEAST,POODLE系CBC危殆化重視)」で望まれる暗号スイートのリスト
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_RC4_128_SHA
** OpenSSLでの暗号スイート指定パターンと結果となる暗号スイートリスト(OpenSSL 1.0.1j)
> EECDH+AESGCM:RSA+AESGCM:RC4-SHA:!DSS:!DH:!PSK:!SRP:!MD5:!AECDH:!kECDH
>
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ECDHE-RSA-AES256-GCM-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (ECDHE-ECDSA-AES256-GCM-SHA384)
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ECDHE-RSA-AES128-GCM-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDHE-ECDSA-AES128-GCM-SHA256)
> TLS_RSA_WITH_AES_256_GCM_SHA384 (AES256-GCM-SHA384)
> TLS_RSA_WITH_AES_128_GCM_SHA256 (AES128-GCM-SHA256)
> TLS_RSA_WITH_RC4_128_SHA (RC4-SHA)
※AES256の方が優先されてしまうが仕方なしとする
※表記:RFC上の暗号スイート名 (OpenSSLの暗号スイート名)
2014-11-26T01:22:28+09:00
1416932548
-
OpenSSL/InternetWeek2014/CiphersModern
https://w.atwiki.jp/kurushima/pages/118.html
** 設定タイプ2「最新ブラウザ対応設定」で望まれる暗号スイートのリスト
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_GCM_SHA384
** OpenSSLでの暗号スイート指定パターンと結果となる暗号スイートリスト(OpenSSL 1.0.1j)
> EECDH+AESGCM:RSA+AESGCM:!DSS:!DH
>
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ECDHE-RSA-AES256-GCM-SHA384)
> TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (ECDHE-ECDSA-AES256-GCM-SHA384)
> TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ECDHE-RSA-AES128-GCM-SHA256)
> TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (ECDHE-ECDSA-AES128-GCM-SHA256)
> TLS_RSA_WITH_AES_256_GCM_SHA384 (AES256-GCM-SHA384)
> TLS_RSA_WITH_AES_128_GCM_SHA256 (AES128-GCM-SHA256)
※AES256の方が優先されてしまうが仕方なしとする
※表記:RFC上の暗号スイート名 (OpenSSLの暗号スイート名)
2014-11-26T01:13:38+09:00
1416932018