今週気になったTLS関連のニュース

先週に続き、2022年4月4日~4月10日に読んだ中で気になったニュースとメモ書き(TLSらじお第52回の前半用原稿)です。

 

 

[ロシア情勢]

こちらのツイートから。

 

アメリカの財務省がロシアへの経済制裁を部分的に解除し、インターネット通信サービス業の取引を認めた模様。Russian Trusted Root CAのような認証局が出てくるくらいなら、ロシア国内のメディアや反戦派が適切なコミュニケーションをとれるように、制裁を解除しよう、という流れらしい。

 

また、Russian Trusted Root CAについては、ロシア製のブラウザYandexでサポートされていると当初から発表されていたが、その実装に関する記事が書かれていた。

koen.engineer

 

ChromeFirefoxといった通常のブラウザのように、ルートトラストストアを持ってそこにRussian Trusted Root CAを追加するのではなく、暗号化されたルート証明書群をHTTP(HTTPSではなく)で取得して利用しているらしい。そのような挙動を仕込むにはバージョンアップが必要だと思うのだが、どうせバージョンアップするなら独自のルートトラストストアを持てばいいのに、どうしてこのような実装になっているのだろう?

 

[DNSTLS:CAAレコード]

こちらのツイートから。

先々週DNSの話題があった(HTTPSレコードとTLSAレコードの話)。

 

今回はCAAレコード。あるCAがドメインに対して証明書を発行できるかどうか、をDNSで制御できるらしい。

『プロフェッショナルSSL/TLS』(2017年7月版)では3.9節などで、証明書の発行に再してドメイン所有者の許可が求められないことがPKIの問題点、弱点の一つだと書かれていた。

素直にそれを信じていたのだが、2017年9月8日から事情が変わったようだ。認証局の業界団体であるCA/B Forumの規定が変わり、認証局による証明書発行の際はCAAレコードをチェックすることが義務付けられていた。

cabforum.org

 

しかし、CAAレコードのチェックはあくまで義務として定められているだけで、技術的にドメイン所有者の許可なく証明書を発行することは可能なので、Russian Trusted Root CAのような認証局はやはり脅威と感じる。

 

続くScott Helme氏のツイートによると、36,000以上のドメインがCAAレコードを利用しているようだ。

 

[その他のニュース]

PCI DSS v4.0リリース

こちらのツイートから。

 

PCI DSSはクレジットカード業界のセキュリティ基準である。

v3.2では2018年6月末までにSSLと初期のTLS*1(当時としてはTLS1.0/1.1)の使用を控えるようにという指示があったが、今回のv4.0では特にTLS関連で書き加えられている項目はなさそうだった。

 

▼RPKI

こちらのツイートから。

 

RPKIウィークだったらしい。普段のWeb PKI以外に、RPKIという分野があるらしいことを初めて知った。

Resource PKIは、インターネットのルーティング基盤、特にボーダーゲートウェイプロトコルを保護するために設計されたフレームワークとのこと。

www.apnic.net

 

▼kTLS

こちらのツイートから。

 

kTLS...これも知らなかった用語。kernel TLSのことらしい。

パフォーマンスのための機能で、現在はレコード層の暗号化だけだが、最終的にはカーネルTLSをオフロードしようとしているっぽい。

 

Google Cloud CA Service

こちらのツイートから。

 

先週話題にしたGCPのCA Serviceが一般利用可能になったらしい。他のクラウドサービスやオンプレミス用の証明書も発行できるとのこと。

 

▼耐量子暗号・ネットワークワークショップ

こちらのツイートから。

 

Google, Amazon, Cloudflare, Mozillaの人も登壇するみたい。興味はあるけど理解できる気がしない...。

 

[まとめ]

いつかTLS1.2もPCI DSSで禁止される日が来るんだろうなあ...対応が大変そう。

DNS関連とかRPKIとかkTLSとか知らないワードがまだまだたくさん...精進します。

*1:将来のバージョンアップに備えて、具体的なバージョンは明示されていなかった。2015年時点ではTLS1.1の使用が認められていたが、2018年にはTLS1.2以上にすべし、と書かれている。