本日, phpMyAdmin4.6.6 にアップデートしたら,ログイン時に “OpenSSL error: error:0607A082:digital envelope routines:EVP_CIPHER_CTX_set_key_length:invalid key length” というのが出るようになった。
おそらく, 👉 $cfg[‘Servers’][$i][‘ssl_verify’] のせいではないかと思うのだが……。
説明部分に, “Disabling the certificate verification defeats purpose of using SSL. This will make the connection vulnerable to man in the middle attacks.” というのが入っているが,自鯖の SQL server と phpMyAdmin は NAT ルータ内にあるし,ユーザも私だけなので,一時しのぎとして, config.inc.php に下記を付け加えて回避することにした。
$cfg['Servers'][$i]['ssl_verify'] = false;
「phpMyAdmin4.6.6 にアップデートした。」への10件の返信
こんにちは
使ってないから全然わからなかったんですが、
jvnによるとphpmyadminってかなり脆弱性がでてるんですね。
さて,nginxですが安定バージョン最新がでました。
openssl-1.0.2がつかえなくなってしまいました。
1.1.x系の移行をみこしてるんですかねー?
わざと使えなくしてるような意図を感じます。
くりくりさん,こんにちは。
> jvnによるとphpmyadminってかなり脆弱性がでてるんですね。
結構,あります。ただ,活発に活動しているオープンソースなので,パッチはすぐ出ます。あとは,運用ですね。今回の
$cfg['Servers'][$i]['ssl_verify'] = false;
なんかもなんですが,安易に走らずに(😅😅😅),ベンダーが用意している機能をちゃんと設定して利用しないといけません。> openssl-1.0.2がつかえなくなってしまいました。
Google も Mozilla も TLS1.3 の準備を着々と進めてるみたいですが,その辺の流れでしょうかねぇ。
こんにちは
会社のサーバーはlibressl-2.4をつかっていましたけど、これもだめ。
結局、openssl-1.1.0に変更してnginxをバージョンアップ。普通、安定バージョンはそんなにかえないんですけどね。
次にnginx-ctモジュールもできるようになりました。
リバースプロキシーがなんでできないのかこれから調査となります。
くりくりさん,こんにちは。
いろいろあるものなんですね。
ここのところ,ちょこちょこ mozilla.dev.security.policy を覗くようになったんですが ‐ 斜め読みというか斜め飛ばし読みです(😅😅😅)‐ Suspicious Cert Issued っていうのは結構あって,それを見張ってる人たちがいるんだということを知りました。 WoSign と StartCom のときに書いた CA ブラウザーフォーラムの基本要件とかもこの辺の監視から出てくることなんでしょうか?それにしても,この基本要件も頻繁に更新されているんです。今日見に行ったら, 2017.1.1 にまた新しいのが出てましたヨ。
おはようございます。
質問に答えていただきありがとうございます。
>この辺の監視
comodoやオランダの認証局の問題を改めてみました。影響ですかすぎw
今はまだブラウザで済んでいるが、IOTが広まれば通信は暗号だろうし、CAの監視が更に強化されそう。
let`s encryptとの競争もありますし、いかに信頼性が高く安全か?
CAは難しい運用をもとめられますな。
くりくりさん,おはようございます。
> 質問に答えていただきありがとうございます。
相手の方のお役に立てればいいんですけどね。なんか,こちらの書き込みを理解されていないような気がしませんか?ご自分で,「Let’s encrypt のWeb認証に失敗する場合の許可の通し方」といういいサイトを見つけられているのに,その情報を利用して何をしたのかが見えません。
とにかく, h ttp://www.arendelle.jp/.well-known/acme-challenge/ の Not Found を解決しないとどうしようもありません。最初の状態はわかりませんが,現在は w ww.arendelle.jp に接続はできるようなので,名前解決はできてるんだと思います。
それにしても System についても Certbot についてもログをあまりご覧になっていないような気がします。まぁ,あまり読みたくないですけどねぇ,誰でも。訳の分からないことの羅列ですから。
> CAは難しい運用をもとめられますな。
ほんとに!! こんな情報を見ていると, DNSCAA やら CT やらをと声高に言われるのが分かる気がします。
こんにちは
問題は解決しましたが、なんか歯がゆいですね。
おれ自身は似たような問題が起きたときに参考になるかなと思って回答しています。クローズして結果がわかっただけでもましなのかな?
ご協力本当にありがとうございました。
くりくりさん,こんばんは。
いえ,相手の方のお役に立てて良かったです。
ちゃんと,解決とお礼もありましたし,良かったと思います。
ところで,WoSign と StartCom の件ですが,うちの Chrome ver.56 でも NET::ERR_CERT_AUTHORITY_INVALID が出ます。実は, Firefox も 1/24 に Ver.51が出たので,どんな状態になるかと, 2016.10.21 以降に発行された StartCom の証明書を使っているところを探して試してみたんです。下記のような文章のところがありました。サイト名は上げませんが,火狐くん 51 にてこんなのが出ました。気の毒です。火狐くんのメッセージは SEC_ERROR_REVOKED_CERTIFICATE でありやした(苦々々)。
「StartCOMのStartSSL証明書が3年無料になりました — 2016年11月2日」
サイト運営者としては連絡してあげたいですが,今のところ連絡先を見つけられていません。あとは, WHOIS データですかねぇ。
今日は暖かいですな。
昼休みに散歩していたら、汗ばみます。
サイトに繋がらない問題は収束してくれればいいですな。
>WHOIS データ
これで通じればいいんですけどね。
とあるサイトで苦情のメールがきました。
法的処置云々とw
コメントがかけるのに
わざわざwhoisのメールに送る所をみると
専門化がついてるんだろうな・・・。
くりくりさん,こんにちは。
昨日から,いろいろとありがとうございました。
Twitter にも書きましたが,どうもうちだけの問題じゃなかったと思います。昨日落ちてた Security NEXT さんも今日は生き返ってました。 eNom からは Intermittent DNS Resolution failures というのが 2 度(Investigating と Resolved)来ました。 http://status.enom.com の SUBSCRIBE に登録してあるんです。でも,来るのが遅かったですからね。そこまでいろいろやりすぎなくらいやってしまいました。
IP が変わったのに, DiCE の更新がうまくいかなくて落ちてたのは,うちだけの問題です……(😅😅😅)。 dig なんかでまともな値が戻って来なかったのは,焦って何度もやったので,ネガティブキャッシュが残っていたせいではないかと思います。
>> WHOIS データ
> これで通じればいいんですけどね。
WHOIS 掲載のメールアドレスに送るのってちょっと躊躇を感じます。スパム扱いになって相手が気づかないままかもしれないし。でも,無理してまで,相手の方のサイトを観に行く気にもならないし。
ところで,今日は天気が良くて暖かいです。が,こちらはとても風が強いです。立春も過ぎたし,もしかすると「春一番」宣言が出るかも。