今週気になったTLS関連のニュース

先週に続き、2022年6月27日~7月3日に読んだ中で気になったニュースとメモ書き(TLSらじお第63回の前半用原稿)です。

 

 

[AWSのTLS1.0/1.1廃止予定]

こちらのツイートから。

リンク先のこちら。

aws.amazon.com

 

2023年6月28日でTLS1.0/1.1をAWSのエンドポイントについて利用できなくなるとのこと。まだサポートしてたんだ、というのも驚きではある。本文中の記載を信じるならば、95%がTLS1.2を利用しているとのことなので、あまり影響はなさそう。

 

それにしても、PCI DSSとかどうしてるんだろう?カード情報を扱うエンドポイントだけTLS1.2にしたとかなんだろうか。*1

 

CloudTrailのtlsDetailsフィールドでAWS API接続に利用されているTLSバージョンを確認できるので、影響の有無を確認しておこう。

 

[最近のTLS事情]

こちらのツイートから。

リンク先の記事はこちら。

www.venafi.com

 

この半年間での色々な変化が解説されている。

HTTPSが導入されていないサイトが25%程度あるらしい。意外と多い。

証明書についてはLet's EncryptのECDSA中間証明書からの証明書発行数が伸びているとか。

TLSバージョンの変化でいうと、TLS1.2の割合が減っているらしい。うちも早く対応しないとな...。

 

[Bulletproof TLS Newsletter #90]

新しいニュースレターが公開された。

www.feistyduck.com

 

トップニュースは先日取り上げたHertzbleed脆弱性だが、TLSへの具体的な影響などは書かれていなかった。気になる...。

 

細かいニュースはちゃんと読めていないが、いくつかはうちでも取り上げた内容が含まれていた。

 

[rakumail.jpの問題]

こちらのツイートから。

これはまさに『プロフェッショナルSSL/TLS』第4章で紹介されていた脆弱性で、SSL証明書の自動発行に使えるメールアドレスが簡単に取得できてしまいそう。

 

こちらのブログで危険なメールアドレスについて説明されているが、仕様としてまとまっているわけではなく、まだドラフト段階の様子。

asnokaze.hatenablog.com

 

[その他のニュース]

▼OpenSSLのリモートメモリ破壊脆弱性

こちらのツイートから。

リンク先の記事はこちら。

guidovranken.com

 

何度目かの脆弱性修正版がリリースされたところに、さらに追加が...。OpenSSLで(特にその最新版で)HTTPSのサイト運用するのってかなり辛そう。

BoringSSLやLibreSSL、OpenSSL1.1.1は影響を受けないらしい。フォークされたOSSが多いとその辺の影響確認も大変そう...。

 

日本語でも記事が出ていた。

news.mynavi.jp

 

OCSPレスポンダのHTTPS化

こちらのツイートから。

リンク先のサイトはこちら。

lapcatsoftware.com

 

接続先サイトの証明書の失効確認を行うためのプロトコルOCSPHTTPSでなくHTTPであることによるプライバシーの問題については『プロフェッショナルSSL/TLS』でも指摘されていた。しかしHTTPSの安全性を確認するためにHTTPSを使う、となるとこのOCSPレスポンダの証明書の失効確認は一体どうやればいいんだ...?

macOSの中で特別に別口で失効情報を配信する仕組みでもあるんだろうか。

 

▼Hertzbleed解説

こちらのツイートから。

リンク先のブログはこちら。

blog.cloudflare.com

 

データによって計算量・電力使用量が異なる、というのがぼんやりとしかイメージできていなかったが記事中の画像(以下に引用)を見ると、スッと理解できた(気がする)。

 

▼同一の因数をもつRSA

こちらのツイートから。

リンク先のPDFはこちら。

https://bora.uib.no/bora-xmlui/bitstream/handle/11250/3001128/Masters_thesis__for_University_of_Bergen.pdf

 

意外と多いような、そうでもないような。

同じ因数を持つ鍵が漏洩すると自分のところも影響を受けるので、そういうのを気にしないといけないのは困る....。

 

[まとめ]

rakumail.jpの問題は見つけた時思わずツイートしてしまった。

*1:PCI DSSとTLSについては以前のニュースを参照。

kdnakt.hatenablog.com