先週に続き、2022年6月6日~6月12日に読んだ中で気になったニュースとメモ書き(TLSらじお第60回の前半用原稿)です。
[Chrome Root Store]
こちらのツイートから。
Chrome announces revisions to its root certificate policy at this week's CA/B Forum meeting in Warsaw: https://t.co/XVxEZopBmv
— Dean Coclin (@chosensecurity) 2022年6月8日
CA/B Forumの会合?でChrome Securityチームから、Root Certificate Policyの変更について発表があったらしい。
最大の変更点としては、これまでLinuxやMac上ではOSの提供するトラストストアを利用してきたが、2022年の夏/秋頃のリリースでChromeのトラストストア(Chrome Root Store, CRS)を利用するようになるらしい。既にWindows版のChromeでは段階的にこの変更が適用されているらしい(最後のスライドから推測すると多分Canary版限定)。iOSでこの変更が適用されないのは、Appleがダメって言ったから、らしい。
Chrome Certificate Verifier(CCV)というのもあるらしい。ChromeがトラストストアはOSのものを使っていた話は、『プロフェッショナルSSL/TLS』でも記載があったので知っていたけど、証明書の検証もOSの機能を利用していた、とかなのか...?それも知らなかったな...。
その他、細かいところでは、2023年からルートCAの自己監査が必要になるとか。やってないってことはない気もするけど...どうなんだろ。
あとはCCADB(Common CA Database)との統合も予定しているらしい。失効情報のプリロードとかやり出すのかな?
[HTTP/3標準化完了]
こちらの記事から。
RFC 9114はこちら。
HTTP/3の解説はこちらの記事がわかりやすかった。
HTTP/3はどうやってWebを加速するか? TCP、TLS、HTTP/2の問題とHTTP/3での解決策~Fastly奥氏が解説(後編) - Publickey
「TCPの接続確立、つまりSYNの交換とTLSのハンドシェイクを一体化できればもっと高速化できる」が、「改良されたTCPプロトコルを使うと、このファイアウォールがびっくり」して「接続を切ってしまう」らしい。
先週のニュースで取り上げたTCPLSがそこに踏み込んでいないのも、この辺の事情がありそうだ。
[その他のニュース]
▼「暗号技術の実装と数学」の講演資料
こちらのツイートから。
九州大学IMI Colloquium
— herumi (@herumi) 2022年6月8日
「暗号技術の実装と数学」の講演資料です。https://t.co/jmOXMbLszE
完全に時間配分を間違えて後半時間が足りなくなってごめんなさい。そのうちblogで解説します。https://t.co/JgvmYenfTphttps://t.co/TwOzWLfOAO
暗認本の作者herumiさんの最新作。リンク先の資料はこちら。いつか理解できるようになりたい...。
▼Expect-CT HTTPヘッダー
こちらのツイートから。
RFC 9163
— ゆき (@flano_yuki) 2022年6月8日
Expect-CT Extension for HTTPhttps://t.co/0AhORTbJIi
CT対応を示すExpect-CTヘッダもRFCになったね。2018年ごろの話なので、今となってはという感じもするが
RFCはこちら。
ブラウザがExpect-CTヘッダのあるサイトを覚えておくことで、次回接続時にCTログのチェックを行い、異常があった場合は指定のURLにレポートする、という流れらしい。MDNのサイトによると、まだFirefoxが対応していない。
「今となっては」という@flano_yuki氏の発言が気になる...最近のCT事情どうなってるんだろう?
▼s2n-quic v1.4.0
こちらのツイートから。
Release Release: v1.4.0 · aws/s2n-quic https://t.co/AstrvSViFd 1.4 出てた
— V (@voluntas) 2022年6月8日
s2n-quicはQUICをRustで実装したライブラリ。毎週のようにリリースがあってすごい...。
▼CloudFront
こちらのツイートから。
Amazon CloudFront now supports TLS 1.3 session resumption for viewer connectionshttps://t.co/zRT7byEqaE
— ゆき (@flano_yuki) 2022年6月7日
元記事はこちら。
『ハイパフォーマンス ブラウザネットワーキング』の作者Ilya Grigorik氏のサイトではまだCloudFrontのTLS 1.3 0-RTTサポートが反映されていなそう。
▼TLS-Scanner
こちらのツイートから。
Our TLS research group is developing a TLS-Scanner for a few years now, mostly for our own purposes. I rarely advertised it much, but it is actually quite powerful. A 🧵: pic.twitter.com/UFl4gwoyag
— Robert Merget (@ic0nz1) 2022年6月9日
リポジトリはこちら。
非同期で20秒くらいでスキャンが完了するらしい。
SSL Server Test (Powered by Qualys SSL Labs)はもう少し時間が掛かってた気がする。
この手のツールだと4月のニュースで取り上げたtestssl.shとかもあるけど、どれがいいんだろう?TLS-ScannerはJavaベースなので、実行環境の用意がない分testssl.shの方が使い勝手は良さそうな気もする。
▼OpenSSLがGUIだったら
こちらのサイト。
こんな複雑なGUI使いこなせる気がしない...いやCUIでも無理だけど。
▼FF XIVのTLS1.0/1.1ブロック
こちらの記事から。
MMORPGファイナルファンタジー14のパッチ6.15で古いTLSプロトコルがブロックされるようになったらしい。
TLS1.1がRFC 8996で非推奨となったのは1年以上前のこと。
▼マルウェアの証明書
こちらのツイートから。
[CyberCrime Updates] DigiCert certificate is used across different malware campaigns since May. Included are BlackGuard, RedLine, and Vidar.
— Check Point Research (@_CPResearch_) 2022年6月8日
VT search query for the certificate:
signature:"0A 49 FB E2 3B 1F 7D AD 60 5C 61 52 DB BB 48 E8"
2022年5月以降複数のマルウェアキャンペーンでDigiCertが発行した証明書が利用されているとのこと。以下のサイトの情報を信用するなら、microfocusのコード署名証明書だろうか。
▼マスタリングTCP/IP 情報セキュリティ編(第2版)
こちらのツイートから。
今月末6/28に「マスタリングTCP/IP 情報セキュリティ編(第2版)」を出版するに至りました。https://t.co/FBtCo3qkfd
— Takamichi Saito, 齋藤孝道 (@saitolab_org) 2022年6月9日
TCP/IPとタイトルがついているが、目次を見るとPKIとかTLSの話も書いてある。DTLSの話もあるみたい。
[まとめ]
HTTP/3っていうかそもそもHTTP1.1からちゃんとやらないと...。