kdnakt blog

hello there.

今週気になったTLS関連のニュース

先週に続き、2022年3月28日~4月3日に読んだ中で気になったニュースとメモ書き(TLSらじお第51回の前半用原稿)です。

今週後半はSpring4Shell (SpringShell, CVE-2022-22965)の話題が多くあまりTLS関連の記事やツイートを見つけられなかった。 

spring.io

 

 

[SSL/TLS証明書の有効期限]

GoogleのRyan Hurst氏のツイートから。

 

先週触れたとおり、SSL証明書の有効期限はこの数年でかなり短くなっており、この先さらに短くなるであろうことが予想されている。では、なんのために有効期限が短くなっているのか、という話。

 

以下の3点がツイートでは触れられていた。

  • 秘密鍵が漏洩した場合の価値を下げる
  • 対応するドメインの有効期限を超えない
  • 変更をより迅速に適用しWebPKIをよりアジャイルにする

 

証明書の有効期限が短くなった場合に、更新が漏れて障害が発生する可能性があるのでACME対応の認証局を使おう、ということも併せて触れられていた。

 

参考:ACME クライアント実装 - Let's Encrypt - フリーな SSL/TLS 証明書

 

[Google Certificate Manager]

こちらのツイートで知った。

 

ACMEクライアントとしてacme.shというOSSがあり、それがGoogle Public CAに対応した、という話。Google側がAPIを公開した当日の対応なので、素早い。

cloud.google.com

 

むしろGoogle Cloud Platformの証明書周りのサービスが今までACMEをサポートしていなかったらしいのが驚き。そもそもまだパブリックプレビュー中の模様。

cloud.google.com

 

[Bulletproof TLS Newsletter #87]

ニュースレターの#87が公開された。トップニュースは2022/3/14のブログでも触れたロシアの認証局新設。

www.feistyduck.com

 

これまで自分が認識していなかったポイントとして、ロシアの新認証局のCT(証明書の透明性ログ)が未公開である点について触れられていた。勉強になります。

 

今回のニュースレターでは、フェルマーアタック、OpenSSLのBN_mod_sqrt関数の無限ループ、OCSP署名でのSHA-1署名の使用を廃止など、いくつか本シリーズで取り上げたニュースも紹介されていたものの、NetLock認証局のセキュリティインシデントや、TLS1.3のPSKの安全性に関する論文WiresharkでTLSトラフィックを復号する方法の紹介など、知らない話題もたくさん。勉強になります...!

 

[その他のニュース]

▼AlpnPASS

2021年8月の記事を今更見つけた。

セキュリティテストのツールで、ALPN(Application-Layer Protocol Negotiation)を用いたTLSトラフィックを傍受できるAlpnPASSというツールがあるらしい。

versprite.com

 

http/2プロトコルについて、BurpSuiteProを使うと同様のことを実現できるらしい。

 

実装を見てみたけどGoで書かれた500行くらいのツールだった。すごい。

github.com

 

▼BouncyCastle Java 1.71リリース

Javaの暗号ライブラリBouncy Castleの最新バージョンがリリースされた。KEMやSABERといった耐量子暗号への対応が進んでいるらしい。

 

量子コンピュータカウントダウン

こちらのツイート。もう10年切ってる...。

 

過去のTLSらじおで紹介した話だと、計算には300万個以上の物理qubitが必要だが、まだまだ1000qubitとかのレベルらしい。2030年にはどうなっているのだろうか...。

www.itmedia.co.jp

 

[まとめ]

証明書の有効期限、ACME、耐量子暗号など、バラバラに見えていた各トピック間の緩いつながりが見えてきた気がする。