しばらくぶりです！BIMIが普及するに伴ってメールクライアント上で公式ロゴが表示されることについての一般向けのメッセージが出始めています。フィッシング対策として紹介されることもあるようですが、BIMI.orgはBIMIはセキュリティソリューションではないと言っていることに注意が必要ですよね～という話、みんなとりあえずDMARCやろうよ～という話をしました。また、Let'sEncryptがOCSPを2025/08/06に予定通りやめた話、IPアドレス証明書、6日間の短命証明書の発行を始めた話などもしました。

雑談では一緒に歌舞伎を見た話、ひとけー万博行った話、クイックルワイパーの話などをしました。

BIMI.org

- https://bimigroup.org/all-about-bimi/

ひとけー前職最後の脅威分析ブログ

- https://www.trendmicro.com/en_us/research/25/c/from-event-to-insight.html

ep70でも話した、WebPKIの証明書の有効期間を最長47日にしたい件について、CABFで投票が行われ、可決された件について話しました。他、CABFのF2Fミーティングが2025年3月に日本でホストされた話、ルート証明書登録プログラム(CA Certificate Root Program)のBugzillaでSectigoがDigiCertに法的に脅されていると主張した件についても少しだけ話しました。雑談では、ゆりかとひとけー一緒に韓国旅行行ってきた、ひとけーはシンガポールでBlack Hat Asiaにも行ってきた、という話をしました。

• Apple Clint Wisonさん提案のSC-081 SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods by clintwilson · Pull Request #553 · cabforum/servercert · GitHub

• CA/Browser Forum、東京でオフラインミーティングを開催【セコム】

• DigiCert: Threat of legal action to stifle Bugzilla discourse

• Black Hat Asia 2025

Let's Encryptが有効期間６日間で失効情報を提供しない証明書を提供することがアナウンスされた件と、Entrustがパブリック証明書事業をSectigoへ売却する件について話しました。雑談では、ひとけー転職した話、サボテンのあみぐるみを編みたい話をしました。 

• Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt
• Entrust Sells Public Certificate Business to Sectigo, Sharpening Focus on Quantum-Ready Cryptographic Data Security Solutions | Entrust

ひとくちPKIもご紹介いただきありがとうございます！

• Xユーザーのkatoko(かとこ)@ネスペ勉強中さん: 「僭越ながら好きなPodcastをまとめたブログちょっと伸びた。紹介させていただいています。好きです。 #セキュリティのアレ #ゆるコンピュータ科学ラジオ #ひまじんプログラマーの週末エンジニアリングレッスン #ひとくちPKI #momitfm #お風呂で情シスラジオ #spno1 #ImageCast https://t.co/brO3bwUExM」 / X

ブラジルの政府系CAである「ICP-Brasil」の中間CAであるCertisign ( https://certisign.com.br/ )がgoogle.comをSubjectに持つTLS Webserver Authentication証明書を発行していたことがCTのモニタリングによって見つかった件と、ep70で話したLet's EncryptがOCSPやめる件についてサポート終了の正確なタイムラインが出た件について話しました。雑談ではひとけーのノートパソコンが死にそうで音がガビガビな話、2000年の年越しどうだった、2000円札見たことない、よいお年を！などの話をしました。

• Google.com の証明書がICP-Brasil（Autoridade Certificadora Raiz Brasileira v10）によって不正に発行された件

○ 1934361 - ICP-Brasil: Mis-issued certificate

○ crt.sh | 421329f0dc2f683d6e96c1b5b310974d0997ad984ef69120f55372b4f48e1037

• ep70 で話したLet's EncryptがOCSPやめるってよのその後の話：Ending OCSP Support in 2025 - Let's Encrypt

・お知らせ

Google PodcastがYouTube Musicに変わったとき、サブスクライブ設定が引き継がれなかったようです。

YouTube Musicをお使いの方で、引き続き番組をお聞きいただける場合は、お手数ですがお手元で個別にRSSのURLを登録してサブスクライブをおねがいいたします。

ひとくちPKI Podcast配信RSSのURLはこちらです： https://anchor.fm/s/42b89b8c/podcast/rss

本編ではFirefoxでCTのチェックが必須になった話、.mobiのTLDにおいて、古いWhoisサーバーのドメインテイクオーバーによって.mobiのWhois応答を模倣する(CAに応答が真正であると思わせる)ことができ、結果として所持していない任意の.mobiのドメインの証明書が発行できそうだったことがオフェンシブセキュリティ企業のwatchTowrによって明らかにされたインシデントについて話しました。雑談ではゴルフの話、高齢になる前に運動習慣を身につけたい話をしました。

・FirefoxのCT必須化

1921525 - enforce certificate transparency in nightly

・.mobi任意証明書発行未遂(PoCですんだ)インシデント

https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

・ゆきさんのブログでも紹介されております

https://asnokaze.hatenablog.com/entry/2024/09/27/003452

・2015年のlive.fiの話(なんとブログ著者はep68,69で話したEntrustインシデントのメールスレッドで対応していた方)

https://www.entrust.com/blog/2015/03/what-happened-with-livefi

・CABFでWhoisでのドメイン所有確認のサンセットが賛成多数で採決されました(Ballot SC-80v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods)

https://cabforum.org/2024/11/14/ballot-sc-80v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/

Let's EncryptがOCSPでの失効情報の提供をやめることを発表しました。CRLが大変だから始まったOCSPがどうやら役目を終えそうなムードです。また、CABFでWebPKIのTLS証明書の有効期間を45日にしたいという議題が提起されました。採決はまだですが、短くしたいムードがありますねといった話をしています。雑談では、子どものころ「どすこい」の言い方を練習しなかった？、らんま1/2の新作、U-NEXTの作品収集にかける情熱がすごいなどの話をして言います。 

1時間まるっとEntrustのTLS証明書が各ブラウザベンダからDistrustされる話をしています。 

収録したのが少し前なので11/1以降に発行された証明書がChromeで信頼されなくなると言っていますが、現在その日付が11/12に変更になっています。 

EntrustのTLS証明書のDistrustのタイミングについて最新情報はこちらから確認できます。 

https://www.entrust.com/tls-certificate-information-center 

SSL.comからサブCAの運用に関するベストプラクティスについてのペーパーが発行されました。ep58,59で話した、インシデントの後に各ルートプログラムからリムーブされたe-Tugra CAがSSL.comのリセラーであったことが関連していると思われます。 

また、Entrustが2024年3月～5月に22件のインシデントを起こしており、その後の対応が良くなかったため、MozillaのルートプログラムからEntrustに対して根本的な対処について詳細な提案が求められている件について話しました。 

雑談ではルービックキュープ上達した話、ぶらさがり1秒と23秒の話、ジムに行くために自分を律する話、どすこいすしずもうの話、ちょっとブームがすぎたものを好きになると、グッズ集めが難しい話などをしました。 

5月初旬、DigicertのEV証明書のBusiness

Let's Encryptの中間CAが新しい構成になる話をしました。なんとその数RSA5つ、ECDSA5つの計10個。それぞれで2つが稼働、3つがバックアップという構成をローテーションするそうです。以前あったHTTP Public Key Pinning (HPKP)をdiscouragesする意図もあるみたい。雑談では成果物、編み物、ルービックキューブ、ぶら下がり健康器の話をしました。