今週気になったTLS関連のニュース

先週に続き、2022年5月23日~5月29日に読んだ中で気になったニュースとメモ書き(TLSらじお第58回の前半用原稿)です。

 

 

[中間CA証明書なしのハンドシェイク]

こちらのツイートから。

リンク先の記事はこちら。amazon.scienceドメインなんてあるのね。知らなかった。

www.amazon.science

記事というか、論文の紹介。著者のひとりKampanakis氏の所属がAWS Cryptographyとなっているが、会社というよりは部署っぽい。KMSとかその辺を扱ってる部署だろうか。

 

何か見覚えのある内容だな、と思ったら2022年3月14日のニュースで取り上げたインターネットドラフトと同じ話のようだ。ドラフトの仕様化には、単にドラフトを提案するだけじゃなくて、こうやって論文を書いて有効性を主張する必要があるっぽい(というか何箇所かドラフトの文章そのままだ...)。

datatracker.ietf.org

 

論文の主題としては、中間証明書を証明書チェーンから除外することで耐量子暗号を利用したTLSハンドシェイクを高速化するという話らしい。ブラウザによっては、証明書チェーンに中間証明書なしでもチェーンを再構築可能だとプロフェッショナルSSL/TLSの8章に書かれていた。今回のもまさにそれで、中間証明書をキャッシュさせようという話らしい(Introductionだけ読んだ)。

 

中間証明書に関する調査のパートでは、先週のニュース出てきたCCADBや、先日なくなってしまったAlexaに加えて、CiscoのUmbrellaを利用していた。CSVでデータが手に入るから研究とかには使いやすそう。

Alexaの96%、Umbrellaの92%が中間CA証明書が2個以下だったらしい。ということは、上位サイトの10%近くが中間CA証明書が2個以上あるということになるのか...?あまり出会ったことがない気がするのは、普段のチェックが甘いのか、クロス署名のルート証明書とかもそれに含まれててブラウザ経由だと確認できてないだけだろうか。

 

中間CA証明書の省略には

といったTLS仕様をベースにしたものの他に、TCP輻輳ウィンドウの初期値を上げるという手法もあるらしい。やはりTLSだけやっていてもダメか...。

tls_flagsが後方互換性もあって一番いい感じではあるようだ。

 

[その他のニュース]

▼Validation Request TLS拡張

こちらのツイートから。

 

SCVPというのはServer-based Certificate Validation Protocol のことらしい。こちらはRFC 5055として2007年にまとまっているようだ。

 

今回のTLS拡張の提案に伴い、PathValidationというハンドシェイクメッセージが1つ追加になるらしい。実現したらまた複雑になるなあ...。

 

関連してこちらのツイートも。

 

BoFというのはBirds of a Featherの略で、ワーキンググループを新設するための集まりっぽい。

www.ietf.org

 

RFC 6125bis

こちらのツイートより。

ドラフトはこちら。

www.ietf.org

 

2011年に出たRFC6125を更新するドラフトっぽい。タイトルがだいぶ短くなってわかりやすくなった気がする。

Overviewのところを見るに、ワイルドカード証明書が許容されるようになったっぽい。10年ちょっとで変わるものだなあ。

 

[まとめ]

今週はインターネットドラフト/RFCの話しかしてない...。

*1:RFC化から数年たつがあまり使われていないらしい。

*2:cTLSについても先日のニュースで触れた。

kdnakt.hatenablog.com