type holyshared = Engineer<mixed>

PHP、Hack、Ruby、OCaml、Rust、Javascript周りの技術ブログ

プロフェッショナルSSL/TLSを読み終わった

ラムダノートさんから出ている、プロフェッショナルSSL/TLSを読み終わりました。 SSL/TLSを理解するのに、基本的に必要な情報が網羅されていて、とてもいい本だと思います。

プロフェッショナルSSL/TLS(紙書籍+電子書籍)www.lambdanote.com

よかった点

  1. 鍵交換、暗号化アルゴリズムについての解説があった。

    一度調べたものの、あまり自信がなかったので、再度理解するのに役に立ちました。
    これはXXXだから、鍵交換アルゴリズムはこれで、暗号化方式はこれのはず、ぐらいは記憶に定着した感があります。

    ある程度知っておかないと、CipherSuiteの設定確認する時、大変だと思います。

  2. MITM(中間者攻撃)の理解が進んだ、また実際にあった攻撃の事例が載っていた。

    Lucky13、POODLEなどの攻撃方法、受動的か能動的かで攻撃方法が異なるなど。
    これも、どの時期にこういう攻撃があったなどの事実関係で載っているので、歴史を学べてよかったです。

  3. CA(認証局)の事例が載っていた。

    CAがドメインの証明書を発行する際に、ドメインのチェックをこなっておらず、不正な証明書が取得できていた事例が載っており、発覚してからCAがどういう末路を辿るのかがよく理解できました。

    また、CAの調査も必要に感じました、普段あんまり気にしてなかったので、過去問題が起きてないかとかそういう調査するのはありだと思います。

  4. 公開鍵ピンニング(HPKP)、HSTSなどの防御方法

    攻撃から守る、または攻撃を受けにくくするにはどうするかも載っていました。

    特にHSTSあたりは、やりやすいので、HTTPS対応しないとけない人は、参考にするといいのではと思いました。
    max-ageを小さめにして、徐々に長くしていくと、リカバリしやすいなど、適用する際の参考手順が載っています。

まとめ

価格はちょっと高いですが、内容的には満足でした。
紙の方で読んで、会社の本棚に置き、電子版で読み直すとかががいいと思います。 3回以上読んだ方がいい内容です。