DNS本を買って#ssmjp(2018/05)でLINE本社にいってきた話
木曜日に#ssmjp(2018/05)にblog書くからLINEに行かせて枠で行ってきました。
ssmjp.connpass.com
内容としては運用系とDNSのお話でした↓
- 運用におけるKYT(危険余地トレーニング)の話! @arctanx93さん
- 続・広く知ってほしいDNSのこと
~DNSの運用をちょっとよくしていく話~ 日本DNSオペレーターズグループ 中島さん
- DNSトンネリングの手法 @shutingrz しゅーとさん
それぞれの感想と今後のメモ.....
運用におけるKYTの話 スライド共有はNG
- KYTとは→"危険余地トレーニング"のこと ヒヤリハットを共有
- コマンドを打つときの場所、オプション、パスなど気にしないと事故るcp,kill,etc
- ベテランではなく新人にも作業前に考えさせるのは大事
続・広く知ってほしいDNSのこと 日本DNSオペレーターズグループ 中島さん
www.slideshare.net
- 前回資料の続編
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
- レジストリ・レジストラ・レジストラントの違い覚える
- MEW仮想通貨盗難事件 →仮想通貨やってるとこのセキュリティのお仕事今後増えそう
- RPKIとDNSSEC でかなり守れるのでちゃんと確認すること
- 深セン ITにかけるヒトモノカネがすごい 急成長度合いがすごい
DNSトンネリングの手法 @shutingrz しゅーとさん
speakerdeck.com
- DNSトンネリングの マルウェアの動きと見るポイント
- セキュリティ会社の人なのに疑似マルウェア作りまくってて面白いし弟子入りしたい!
- 仕事でi-FILTER等さわるのでログ追っていろいろ勉強してみる
宣言型デプロイツールの「正しい」使い方 (考え方編) @tcsh 波多野さん
speakerdeck.com
- interopでも登壇するみたいなのでタイミング合えば聞きに行きたい
- 〇手運用⇒定型化⇒自動化
- ×手運用→→→→→自動化(属人化=ブラックボックス化)
- これはその通りと思った。自動化するのにも手順書とコード連動していないとダメ
ANA システム障害時の搭乗手続きで手書きのアナログ対応ができた理由
http://nlab.itmedia.co.jp/nl/articles/1603/24/news116.html
→自動化ツール不具合時の手動対応まで想定するのがプロの自動化
- スクリプト書いたり便利にする際に中身(コマンド)の意味まで理解して共有していきたい
- 波多野さんはAmazon Cloud Formation使っているけどもDocker Kubernatesもよさげらしいのでキャッチアップしていこうと思う。
Chrome 66にアップデートしたらSSL証明書エラーで何も検索できなくなった件
5月に入ってChromeをバージョン66にアップデートしたところ、、、
yahoo検索もgoogle検索もエラー画面しかでなくなった。。。。 (https全部NG・・・)
「この接続ではプライバシーが保護されません」
(ERR_CERT_COMMON_NAME_INVALID) というエラーが出ている。
Chrome Browser for enterprise release notes読んでみよ。
support.google.com
Chrome policies
EnableCommonNameFallbackForLocalAnchors This policy has been deprecated.
deprecated?
eow.alc.co.jp
duplicatedなら聞きなじみあるが残念ながらdeprecatedということで廃止されちゃいましたね。
ちなみにChrome 58で「SSLサイトにアクセスすると、ページが表示できない現象」ってのも
発生した方もいらっしゃるかと思います。
これはChrome バージョン58からサーバー証明書のCN(CommonName)ではなく、
SAN(subject Alt Name)と接続先を比較するように仕様変更されたためです。
上記の仕様をレジストリをいじることで回避していたのですが、
Chrome66でいじっていたレジストリ部分(EnableCommonNameFallbackForLocalAnchors)の対応が
廃止になったため今回エラーがでました。
【解決策】
- SAN付証明書を作成する。
- 代理証明書を発行等してる環境ならSANを付与してあげる
Chromeを66にあげない
【参考ページ】
Google Chrome Enterprise Helpにも情報出てました。
・en
Error: "Subject Alternative Name Missing" or NET::ERR_CERT_COMMON_NAME_INVALID or "Your connection is not private" - Google Chrome Enterprise Help
・jp
https://support.google.com/chrome/a/known-issues/1700835?hl=ja
・ドイツ語例
https://www.dalecom.de/chrome-enablecommonnamefallbackforlocalanchors/
memo
ちなみにChrome 66,70でのたSymantecの証明書の段階的無効化も大きなニュースになっていたので
注意が必要ですね。
gigazine.net