先週に続き、2022年8月29日~9月4日に読んだ中で気になったニュースとメモ書き(TLSらじお第71回の前半用原稿)です。
[TLSフィンガープリント]
こちらのツイートから。
curl’s TLS fingerprint https://t.co/tfku36Ly7C
— /r/netsec (@_r_netsec) 2022年9月2日
リンク先の記事はこちら。
TLS接続のハンドシェイク時のパラメータのパターンは、クライアントソフトウェアによって異なる。従って、ハンドシェイクを観測することで、指紋のようにクライアントを判別するのに利用できるらしい。判別方法の一つがJA3という。
これを使って、curlっぽいアクセスを弾くサイトがあるとか。botがcurlを使ってアクセスしてるからではないか、と。なるほど。
当然、ブロックを避けるための色々な方法がある。ブラウザ風に見せかける改造版のcurlもあれば、ヘッドレスブラウザを利用することもできる。
[Chrome v105]
こちらのツイートから。
【自分用メモ】Chrome Root Program Policyがバージョン1.2になった。
— Yasuhiro Morishita (@OrangeMorishita) 2022年9月1日
何が変わったんだろう。
Chrome Root Program Policy, Version 1.2 https://t.co/XOC36WTiaw
リンク先はこちら。ルートプログラム自体の発効に伴う微修正という感じっぽい。
ルートプログラムが発効となり、6月のニュースで取り上げたChrome Root StoreがいよいよChrome 105でリリースされたようだ。
これに合わせて、ブラウザの証明書ビューアも、プラットフォーム依存をやめて独自のものになったらしい。
It seems that Chrome got a new certificate viewer 🧐 pic.twitter.com/3oOoiwoLiy
— Scott Helme (@Scott_Helme) 2022年9月3日
switched from using platform cert viewer to our own, in preparation for using our own root store :)
— Emily Stark (@estark37) 2022年9月3日
[Bulletproof TLS Newsletter #92]
月末なのでBulletproof TLS Newsletterがリリースされた。
トップニュースはSIDH(SIKE)の脆弱性について。
Pythonのモジュール管理ツールPIPにtruststore機能が実験的に実装されたらしい。会社がネットワークを管理している場合とかに使うのかな。
wolfSSL5.4.0がリリースされて、DTLS1.3がサポートされたらしい。
同じく、QUICもサポートされた。OpenSSLでも同じようなAPIが提案されていたが、こちらはリジェクトされたらしい。
GoogleのCloud Certificate ManagerがGAしたらしい。
[その他のニュース]
▼ACME DNS-ACCOUNT-01チャレンジ
こちらのツイートから。
ACME has this concept of "Challenges". They are used to prove things, for ex control of a domain. One is called DNS-01. Unfortunately, it uses a static label, which limits its use to a single provider. We are proposing a new challenge that addresses this. https://t.co/KJURGoh6tx
— Ryan Hurst (@rmhrisk) 2022年8月30日
リンク先のサイトはこちら。
https://daknob.github.io/draft-todo-chariton-dns-account-01/draft.txt
証明書自動更新のプロトコルACMEで、DNS検証のためにDNS-01チャレンジがあるが、これに問題があるのでDNS-ACCOUNT-01という新しいチャレンジで課題を解決しよう、という話らしい。
そもそもACMEがよくわかってないので、何がいいのかよくわからなかった...。
▼thelatticeclub.comの証明書エラー
Bulletproof TLS Newsletterで紹介されていたhttps://www.thelatticeclub.com/にアクセスしたらこんなエラーが*1。有効期限切れはこれまで何度か見たことあったけど、全然違う証明書がデプロイされてるってのは珍しい気がする。
▼パスワードは「2つ」あった
こちらのツイートから。
AES256モードの暗号化zipでパスワードが64文字以上の場合、その値のsha1ハッシュ値(ASCII表記)も解凍パスワードとして使用できるので、パスワードは実質2つ存在する。わいわい / “An encrypted ZIP file can have two correct passwords — here's why” https://t.co/WAUUFnjdLA
— matsuu(シン・ウー馬場ーイー2) (@matsuu) 2022年9月4日
リンク先の記事はこちら。
ZIPが利用しているPBKDF2アルゴリズムの使用で、64文字以上のパスワードはSHA1ハッシュのASCII表記に変換されてしまう。変換後のハッシュは64文字に満たないので、そのまま利用される、と。
結局元のパスワードがわからないとハッシュの方もわからないので、脆弱性ではない、と書かれていたが、パスワードの長さが短くなってしまうのは問題な気もする。
[まとめ]
ネタ枠として、こちらのツイートを紹介して終わります。
公開鍵「わたしと秘密鍵、どっちが大事なの?!」
— 麹 (@oryzae1824) 2022年9月2日
*1:アクセスしたのは2022年9月5日午前2時ごろ