今週気になったTLS関連のニュース

先週に続き、2022年6月6日~6月12日に読んだ中で気になったニュースとメモ書き(TLSらじお第60回の前半用原稿)です。

 

 

[Chrome Root Store]

こちらのツイートから。

CA/B Forumの会合?でChrome Securityチームから、Root Certificate Policyの変更について発表があったらしい。

www.chromium.org

 

最大の変更点としては、これまでLinuxMac上ではOSの提供するトラストストアを利用してきたが、2022年の夏/秋頃のリリースでChromeのトラストストア(Chrome Root Store, CRS)を利用するようになるらしい。既にWindows版のChromeでは段階的にこの変更が適用されているらしい(最後のスライドから推測すると多分Canary版限定)。iOSでこの変更が適用されないのは、Appleがダメって言ったから、らしい。

Chrome Certificate Verifier(CCV)というのもあるらしい。ChromeがトラストストアはOSのものを使っていた話は、『プロフェッショナルSSL/TLS』でも記載があったので知っていたけど、証明書の検証もOSの機能を利用していた、とかなのか...?それも知らなかったな...。

 

その他、細かいところでは、2023年からルートCAの自己監査が必要になるとか。やってないってことはない気もするけど...どうなんだろ。

あとはCCADB(Common CA Database)との統合も予定しているらしい。失効情報のプリロードとかやり出すのかな?

 

[HTTP/3標準化完了]

こちらの記事から。

www.publickey1.jp

 

RFC 9114はこちら。

www.rfc-editor.org

 

HTTP/3の解説はこちらの記事がわかりやすかった。

www.publickey1.jp

HTTP/3はどうやってWebを加速するか? TCP、TLS、HTTP/2の問題とHTTP/3での解決策~Fastly奥氏が解説(後編) - Publickey

 

TCPの接続確立、つまりSYNの交換とTLSのハンドシェイクを一体化できればもっと高速化できる」が、「改良されたTCPプロトコルを使うと、このファイアウォールがびっくり」して「接続を切ってしまう」らしい。

先週のニュースで取り上げたTCPLSがそこに踏み込んでいないのも、この辺の事情がありそうだ。

 

[その他のニュース]

▼「暗号技術の実装と数学」の講演資料

こちらのツイートから。

 

暗認本の作者herumiさんの最新作。リンク先の資料はこちら。いつか理解できるようになりたい...。

www.slideshare.net

 

▼Expect-CT HTTPヘッダー

こちらのツイートから。

RFCはこちら。

www.rfc-editor.org

 

ブラウザがExpect-CTヘッダのあるサイトを覚えておくことで、次回接続時にCTログのチェックを行い、異常があった場合は指定のURLにレポートする、という流れらしい。MDNのサイトによると、まだFirefoxが対応していない。

developer.mozilla.org

 

「今となっては」という@flano_yuki氏の発言が気になる...最近のCT事情どうなってるんだろう?

 

▼s2n-quic v1.4.0

こちらのツイートから。

s2n-quicはQUICをRustで実装したライブラリ。毎週のようにリリースがあってすごい...。

github.com

 

▼CloudFront

こちらのツイートから。

元記事はこちら。

aws.amazon.com

 

『ハイパフォーマンス ブラウザネットワーキング』の作者Ilya Grigorik氏のサイトではまだCloudFrontのTLS 1.3 0-RTTサポートが反映されていなそう。

istlsfastyet.com

 

TLS-Scanner

こちらのツイートから。

リポジトリはこちら。

github.com

 

非同期で20秒くらいでスキャンが完了するらしい。

SSL Server Test (Powered by Qualys SSL Labs)はもう少し時間が掛かってた気がする。

 

この手のツールだと4月のニュースで取り上げたtestssl.shとかもあるけど、どれがいいんだろう?TLS-ScannerはJavaベースなので、実行環境の用意がない分testssl.shの方が使い勝手は良さそうな気もする。

testssl.sh

 

▼OpenSSLがGUIだったら

こちらのサイト。

smallstep.com

 

こんな複雑なGUI使いこなせる気がしない...いやCUIでも無理だけど。

 

FF XIVのTLS1.0/1.1ブロック

こちらの記事から。

www.siliconera.com

 

MMORPGファイナルファンタジー14のパッチ6.15で古いTLSプロトコルがブロックされるようになったらしい。

TLS1.1がRFC 8996で非推奨となったのは1年以上前のこと。

www.rfc-editor.org

 

マルウェアの証明書

こちらのツイートから。

 

2022年5月以降複数のマルウェアキャンペーンでDigiCertが発行した証明書が利用されているとのこと。以下のサイトの情報を信用するなら、microfocusのコード署名証明書だろうか。

bazaar.abuse.ch

 

▼マスタリングTCP/IP 情報セキュリティ編(第2版)

こちらのツイートから。

 

TCP/IPとタイトルがついているが、目次を見るとPKIとかTLSの話も書いてある。DTLSの話もあるみたい。

www.ohmsha.co.jp

 

[まとめ]

HTTP/3っていうかそもそもHTTP1.1からちゃんとやらないと...。