Share ひとくちPKI
Share to email
Share to Facebook
Share to X
SSL.comからサブCAの運用に関するベストプラクティスについてのペーパーが発行されました。ep58,59で話した、インシデントの後に各ルートプログラムからリムーブされたe-Tugra CAがSSL.comのリセラーであったことが関連していると思われます。
また、Entrustが2024年3月~5月に22件のインシデントを起こしており、その後の対応が良くなかったため、MozillaのルートプログラムからEntrustに対して根本的な対処について詳細な提案が求められている件について話しました。
雑談ではルービックキュープ上達した話、ぶらさがり1秒と23秒の話、ジムに行くために自分を律する話、どすこいすしずもうの話、ちょっとブームがすぎたものを好きになると、グッズ集めが難しい話などをしました。
SSL.com: Lessons Learned, Security Implications and Good Practices for Branded SubCAs
https://www.ssl.com/article/lessons-learned-security-implications-and-good-practices-for-branded-subcas/
関連するBugzillaのスレッド
https://bugzilla.mozilla.org/show_bug.cgi?id=1867851
Recent Entrust Compliance Incidents (google.com)
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/LhTIUMFGHNw
CA/Entrust Issues – MozillaWiki
https://wiki.mozilla.org/CA/Entrust_Issues
「どすこいすしずもう」公式チャンネル
https://www.youtube.com/channel/UCdfXACHBNiuVR8f4PRwDrEA
5月初旬、DigicertのEV証明書のBusiness
Let's Encryptの中間CAが新しい構成になる話をしました。なんとその数RSA5つ、ECDSA5つの計10個。それぞれで2つが稼働、3つがバックアップという構成をローテーションするそうです。以前あったHTTP Public Key Pinning (HPKP)をdiscouragesする意図もあるみたい。雑談では成果物、編み物、ルービックキューブ、ぶら下がり健康器の話をしました。
New Intermediate Certificates
https://letsencrypt.org/2024/03/19/new-intermediate-certificates
小ネタ集としてLEが新しく発表したCTサーバの新アーキテクチャ実装Sunlight、2024年のReal World Crypto学会でCTがLevchin Prizeを受賞、1字違いのプレーンテキストでのMD5衝突の話をしました。雑談ではテキサス&シアトル小旅行(テキサスの接待サボテン、シアトル散歩、シアトルはタコグッズ推し、インフレ、飛行機で映画何見る?、Kindle本セールなど)の話をしました。
Let's EncryptがCTサーバの新アーキテクチャ実装 Sunlight を発表しました。
https://letsencrypt.org/2024/03/14/introducing-sunlight
ボトルネックだったリレーショナルデータベースをやめた。
まだブラウザから検証元として信頼はされてないようですがログ投入やモニターすることはもうできるみたいです
3月末にReal World Cryptoという学会が行われまして、そこで今年のLevchin PrizeというのにCertificate Transpearencyのクリエイターたちが選ばれたようです。
RWC自体では耐量子暗号とか、時勢の緊張も相まってメッセージのE2E暗号化とかの話題が多かったように思いました。アブストラクトはWebサイトから見れます。
https://rwc.iacr.org/2024/program.php
1文字だけ違うアルファベットの文字列でMD5のハッシュが衝突する事例が見つかったようです
https://twitter.com/realhashbreaker/status/1770161965006008570
md5("TEXTCOLLBYfGiJUETHQ4hAcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak") = md5("TEXTCOLLBYfGiJUETHQ4hEcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak")
集英社のKindle本50%ポイント還元セールでドクタースランプ、ドラゴンボール、鬼滅の刃、ワンピース全巻買いました(ひとけー)
冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogleTrustedServiceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。
冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version 1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogle Trusted Serviceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。
• Google Trust Services のインシデントレポート
○ 1876593 - Google Trust Services: Failure to properly validate IP address (mozilla.org) https://bugzilla.mozilla.org/show_bug.cgi?id=1876593
• Chrome Root Programの新バージョンでてました。
○ Chrome Root Program Policy, Version 1.5
○ Last updated: 2024-01-16
○ https://www.chromium.org/Home/chromium-security/root-ca-policy/
○ Chrome Root Program Policy Version 1.5 (TRACKED CHANGES).docx - Google ドキュメント https://docs.google.com/document/d/1soL-ZFOp8LeUwvQjKlacf2GWuvjYJ1A7/edit#heading=h.gjdgxs
• 三都屋のお餅
○ https://kuromon-mitoya.com/product_list/mochi/
ひとけーが今年1/23-26に長崎で行われるSCIS2024で発表します。記事を出すことで自分の役割を果たしたと思っていたけど、対策を世の中にデリバリするにはもう一仕事必要そうだなとおもってもがいている話もちょっとしました。PKIネタではChromeがCTログサーバとして参照するのに可用性要件(90日平均で99%)を求めるようになった話をしました。雑談ではテキサス寒波到来、ゲーム捗った、パンを焼く、もち用アルミホイルなどの話をしました。
https://www.iwsec.org/scis/2024/
技術書典15とInternet Week 2023に出る話、WebPKIのシェアでLet’s Encryptが過半数を超えた話をしました。雑談では、100kmライド走った話、ムール貝のワイン蒸しの話、サブウェイからターキーブレストがなくなった話をしました。
2023/9/1からCA/Browser Forumの S/MIME ワーキンググループで議論されてきた Baseline Requirementの運用がスタートした話と、メールクライアントで認証済みの発行者からのメールにブランドアイコンを表示するBIMIに対応したメールについて、Gmail上で青バッジが表示される運用が始まったようだという話をしました。雑談ではひとけー学位授与機構で学位(学士(工学))取れたよの話、夏休み何してた?パスポート切れた!など旅行あれこれの話をしました。
Let's Encryptでシリアルナンバーが重複する異なる証明書が発行されたインシデントの報告があり、その発見から対応までのタイムラインがすごいという話と、来年2024年9月からLEのトラストチェーンからクロスサイン証明書が減って短くなるという話をしました。技術書典15に出ます!よろしくお願いします!
・Let's Encrypt
・サービスダウンを発見したSSLmateの人の総括ブログ:The
・LEが実施したこの変更に伴うサービスダウンだった: Small
前回の配信回で取り上げたE-Tugra、Chromeの信頼されるルートCAリストから削除されることが決まったようです(6/15までに配信されるChrome root store v11から)。ほか、EUのトラストサービスのプロバイダーの組織 European Signature Dialog が Google の提唱する90日のshort-lived Certificateに対する懸念を、EU機関にむけて発信している話をしました。European Signature DialogはGoogleのふるまいをAnti-competitiveと言っているようです。
雑談では学位授与機構の試験を受けてきた話、新しく買った電子レンジにWi-Fiがついてる話などをしました。
Security concerns with the e-Tugra certificate authority
https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/yqALPG5PC4s
Mozilla でも議論がはじまりました
Review of e-Tugra's Inclusion in Mozilla’s Root Store (google.com)
Google returns to anticompetitive behavior by limiting all certificates to 90 days only
https://www.european-signature-dialog.eu/Google_returns_to_anti-competitive_behavior-ESD_26042023.pdf
The podcast currently has 69 episodes available.
1 Listeners
50 Listeners
201 Listeners
11 Listeners
7 Listeners
2 Listeners
16 Listeners
188 Listeners
0 Listeners
43 Listeners
15 Listeners
8 Listeners
2 Listeners
71 Listeners
0 Listeners