今週気になったTLS関連のニュース

先週に続き、2022年5月2日~5月8日に読んだ中で気になったニュースとメモ書き(TLSらじお第55回の前半用原稿)です。

 

 

[ChromeGoogle CTログ]

Andrew Ayer氏の一連のツイートから。

 

Google ChromeTLS接続するには、証明書がアクティブなCT(Certificate Transparency、証明書の透明性)ログに登録されている必要がある。しかし2022年5月1日をもって、Chrome 101以降でGoogleが運営するいくつかのCTログが廃止されてしまったため、サイトに正常に接続できなくなる可能性がある、ということらしい。

 

以下のサイトでドメインを入力すると、問題の有無を確認できる。

sslmate.com

 

該当のCTログには2020年から新規登録をしていなかったので影響が少ないと思われていたが、実際には、当時2年間の有効期限のある証明書のCTログを登録して利用していたケースがあり、影響範囲が大きかったためか、5月3日にCTログの廃止は取りやめられたらしい。さっさと移行せい、とのこと。

 

GoogleのCTログといえば、下記CTログの検索ページが2022年5月15日にサービス終了する件とは無関係なのだろうか。

transparencyreport.google.com

 

CTに関する変更を追いかけるには、メーリングリストやバグトラッカーを追いかけると良いらしい。

CTログこんなにたくさんあったのね...。

sslmate.com

有償サービスとして、CTログのモニタリングをしてくれるらしい。

sslmate.com

 

[CTログの悪用]

こちらの記事から。

portswigger.net

 

CTログの登録を高速でチェックして、初期設定が完了していないWordPressのサイトを攻撃する、というのが数年前から発生しているらしい。

ログ登録して1分...速過ぎる。

 

こういう攻撃があるとすると、CTを無効化するのもありなのかもしれない、と思う。

dev.classmethod.jp

 

しかし、前述のツイートにあるとおり、Chromeでアクセスする場合には、証明書が1つ以上のCTログに登録されている必要があるため、無効化するにもよくよくサイトの要件を考慮する必要がある。

 

[Alexaサービス廃止]

こちらのツイートから。

 

Alexaと言っても、音声アシスタントではない。

『プロフェッショナルSSL/TLS』でたびたび脆弱性の影響範囲について言及する際に登場していたAlexaがサービス停止してしまった。

https://www.alexa.com/topsites

 

domaintoolsによると、The Majestic MillionThe Cisco Umbrella 1 Million top domainsNetcraftあたりが代替候補のようだ。

 

[その他のニュース]

▼ExtraReplica脆弱性

こちらのツイートから。

リンク先はこちら。

www.wiz.io

 

AzureのPostgreSQLデータベース接続時のクライアント認証において、証明書のCN(Common Name)検証時の正規表現に問題があったため、replication.eee03a2acfe6.database.azure.com.wiz-research.comのようなCNの証明書を取得するだけで認証をパスできてしまうらしい。正規表現気をつけなきゃ...。

 

▼OpenSSLセキュリティアドバイザリ(2022/05/03)

こちらのツイートから。

計4件の脆弱性が修正されている。RC4とかもうほとんど使われてないだろうからあまり影響はなさそう。

https://www.openssl.org/news/secadv/20220503.txt

 

▼証明書デプロイエラー

ハンバーグでもテイクアウトしようかな、と思って2022年5月4日にwww.sengokuga.comにアクセスしたら証明書のエラーが。

image

 

secure cmsというのはこれっぽい。

secure-cms.com

CMSの利用者側の問題だろうか、それとも運用側の問題だろうか。運用側の問題だとしたら、高水準セキュリティとは...と言いたくなる。 

 

2022年5月6日に解消された模様。

sengokuga.com

 

▼TLStorm 2.0

こちらの記事から。

portswigger.net

2022年3月14日のニュースで取り上げたTLStormに類似の脆弱性が、別のデバイスでも見つかったらしい。詳細はこちらのブログ記事に。

www.armis.com

 

▼ECDSA in Go 1.19

こちらのツイートから。

 

先週のニュースでも取り上げた、ECDSA関連の話題が追加。

変更されたソースコードを見ると、二重になっていたfor文が解消されていたりして、確かに速くなっていそうではある。

 

▼X25519鍵交換ハンズオン

こちらのツイートから。

 

TLS1.2とかTLS1.3とかQUICのハンドシェイクをバイト単位で視覚化してくれたのと同じ人。今回は視覚化というよりはハンズオン形式で、Curve25519楕円曲線の公開鍵の計算を説明してくれている。

x25519.ulfheim.net

 

量子コンピュータ大統領令

こちらのツイートから。

 

国のトップレベルでこういう決断ができるのは強い。

www.nikkei.com

 

Golangで作るTLS1.3

こちらのツイートから。

zenn.dev

 

少し前にTLS1.2を自作されていた方。

golangで作るTLS1.2プロトコル

golangで作るTLS1.2プロトコル(ECDHE&クライアント認証編)

 

TLS1.3、いまだにちゃんと理解できていないのでなんとか年内に頑張りたい...。この記事を読んでCertificateVerifyとかも変わってるんだなーというぼんやりとした理解を得られた。

 

[まとめ]

今週はなんだかCTログ周りがきな臭い感じ...。