TLS

HAProxyでHTTP/2のTLS終端する際のALPN設定

HAProxy 1.5でALPNに対応していた。 HTTP/2 over TLSの通信を、HAProxyでTLSを終端することで、TLS対応を行わないであろうVarnishなどでもh2c接続が可能となる。 (HAProxy自体のhttp2対応はまだ先) 今回はバックエンドにNginxをh2cでリッスンさせて試してみ…

ssl_prefer_server_ciphersを有効にしたらERR_SPDY_INADEQUATE_TRANSPORT_SECURITYが出るようになった。

ubuntu14.04で、Nginx1.9.3 + patch.http2-v2 + openssl1.0.2d 環境構築は「nginx1.9.3 HTTP/2 パッチを試す」 server { listen 443 ssl http2 ; ssl_prefer_server_ciphers on; #★offにすると繋がる server_name localhost; ssl_certificate xxx.crt; ssl_c…

TLS Jump Startとは

TLS Jump Start CloudFlareの方によって、TLS Jump Startという仕様が提案されている。 雑にですが簡単に斜め読みした(例のごとく間違い等あるかと思います) https://tools.ietf.org/html/draft-vkrasnov-tls-jumpstart-00 TLSの通信では初期接続時に複数…

nginxのngx_stream_ssl_moduleでTLS終端+WebSocket負荷分散

先日、NginxのTCP Load BalancingがOSS版でも使えるらしいので試すで書いたとおり、Nginx 1.9よりTCP Load Balancing機能が使える見込みである。 今回は、更にTLS終端を可能にするngx_stream_ssl_moduleも合わせて使用し、WebSocket over TLSの負荷分散を試…

Chromeで「接続は古い暗号化技術により暗号化されています」の表示条件

TLS

最新のchromeでは表現が変わったようです。 「"このサイトへの接続では安全性の高いプロトコル バージョンと暗号スイートが使用されています。"」 security_info->is_secure_protocol_and_ciphersuite = (net::SSLConnectionStatusToVersion(security_info->…

SSLv3の使用が禁止される話 (RFC7568)

20181106追記RFC7568として「Deprecating Secure Sockets Layer Version 3.0」標準化されています。 現在はTLS1.0, TLS1.1の廃止が検討されていますasnokaze.hatenablog.com TLS WGでは「Deprecating Secure Sockets Layer Version 3.0(draft-ietf-tls-sslv3…