Browsing articles in "資訊安全"
九月
11
2014

請不要再使用isleaked.com檢查自己的Gmail了

今天看到一則不負責任的文章: 全球 493 萬 Gmail 賬密遭洩,輸入你的 Email 就知道是不是「受駭者」! 做為一個這麼多人閱讀的資訊網站,沒有做到資訊檢查的前置作業,就將這樣的文章發表出來,不知道會造成多少人受害?

為什麼這樣說呢? Gmail爆發帳戶的密碼外洩事件,是在台灣的2014年9月11日凌晨,而isleaked.com這個網域的註冊時間是在2014年9月8日網站的SSL申請日期是在2014年的9月10日。有沒有這麼剛好? 這個網站難道未卜先知,知道Gmail即將爆發帳戶密碼外洩的資安事件,所以在資安事件爆發前就架設好提供給大家查詢 (迷之音:順便蒐集大家的email)

不是杞人憂天,而是真的對於一個資訊網站對於資訊內容沒有做好檢查,就這樣散播出來,對於一般使用者來說,可以說是一項很不負責任的行為

  • isleaked.com 網域註冊資料:http://www.whois.com/whois/isleaked.com
  • isleaked.com 的SSL資訊:
  • isleaked.com SSL

四月
13
2014

檢測你的android手機有沒有Heartbleed的問題

目前造成災情慘重的Heartbleed問題,延燒到手機上。目前為止iPhone和Windows Phone都沒有相關的災情,但是如果你使用的是Android手機則要特別的注意。

大家可以到Google Play上面搜尋heartbleed這個關鍵字,或者是直接點這個網址https://play.google.com/store/search?q=Heartbleed
會直接開啟Google Play的頁面,大家可以找一套自己喜歡的安裝,並且進行檢測。

目前我使用Android 4.4.2沒有這個問題,大家也趕緊檢查一下自己的Android手機吧

檢測你的android手機有沒有Heartbleed的問題

四月
10
2014

解決Comodo PositiveSSL在firefox上不受信任的連線問題

Comodo PositiveSSL對於個人使用來說是一個相當划算便宜的SSL憑證,透過cheapSSLSecurity購買五年只需要美金23.99。

當完成購買並且下載憑證相關檔案之後,Chrome可以正常的讀取到SSL憑證,但是Firefox卻會出現警告,畫面類似下圖。
SSL連線不受信任
錯誤碼是: sec_error_unknown_issuer

以往的作法是我們會上傳ca boundle檔,但是在apache 2.4使用這個設定時,會出現這個設定即將不再被支援的提示訊息。因此我們正確的作法是將Comodo所提供的三個crt檔合併,指令如下

cat mydomain.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > mydomain_ssl.crt

接下來到Web Server的SSL設定檔中修改下面兩行

SSLCertificateFile /etc/httpd/CA/mydomain_ssl.crt
SSLCertificateKeyFile /etc/httpd/CA/mydomain.key

然後重新啟動Web Server,就可以解決連線不受信任的連線問題了

產生CSR和private key的指令,可以參考修復OpenSSL CVE-2014-0160資安漏洞後必做工作 第三項:更新網站SSL憑證所使用的Key和CSR
四月
9
2014

修復OpenSSL CVE-2014-0160資安漏洞後必做工作

OpenSSL的CVE-2014-0160漏洞被揭露之後,我們除了要進行OpenSSL的更新之外,還要避免我們原本的SSL Key在修復前就被偷走的風險,因此建議做以下的防護動作。

更新SSH Host Key
sudo ssh-keygen -f /etc/ssh/ssh_host_rsa_key -b 4096 -t rsa
sudo ssh-keygen -f /etc/ssh/ssh_host_dsa_key -b 1024 -t dsa

  • -b 是指Key的長度,建議至少設置在2048以上
  • dsa 的長度則一定是1024

更新使用者的key
切換到該使用者之後
ssh-keygen -b 4096 -t rsa

  • -b 是指Key的長度,建議至少設置在2048以上
  • 如果這位使用者原本的key,有存放在另外其它主機的authorized_keys,記得其它主機的authorized_keys也要一併更新

更新網站SSL憑證所使用的Key和CSR
openssl req -new -newkey rsa:4096 -nodes -sha256 -out [NAME].csr -keyout [NAME].key

  • 請將 [NAME] 換成你自己常用的名稱,建議跟原本的名稱一樣,這樣後面可以少做一些修改
  • rsa:4096 是指private key的長度,可以選擇2048, 3072, 4096三種長度
  • -sha256 加上這個參數是用來產生SHA-256的CSR,並且用來產生SHA-2的SSL憑證
  • 記得先備份原本的SSL憑證相關檔案: key, csr, crt和bundle crt這幾個檔案
  • 如果忘記原本csr的內容,可以打開現在csr的檔案,把內容貼到CSR Decoder這個網站去做反解,得到當初填寫的內容
  • 到申請SSL的網站進行re-key,然後把csr貼上去
  • 等待大約5分鐘,就會拿到新的crt
  • 修改Web Server SSL相關的設定,以Apache為例就是修改 /etc/httpd/conf.d/ssl.conf
  • 重新啟動Web Server

頁次:12»