今週気になったTLS関連のニュース

先週に続き、2022年8月29日~9月4日に読んだ中で気になったニュースとメモ書き(TLSらじお第71回の前半用原稿)です。

 

 

[TLSフィンガープリント]

こちらのツイートから。

リンク先の記事はこちら。

daniel.haxx.se

 

TLS接続のハンドシェイク時のパラメータのパターンは、クライアントソフトウェアによって異なる。従って、ハンドシェイクを観測することで、指紋のようにクライアントを判別するのに利用できるらしい。判別方法の一つがJA3という。

engineering.salesforce.com

 

これを使って、curlっぽいアクセスを弾くサイトがあるとか。botcurlを使ってアクセスしてるからではないか、と。なるほど。

当然、ブロックを避けるための色々な方法がある。ブラウザ風に見せかける改造版のcurlもあれば、ヘッドレスブラウザを利用することもできる。

github.com

 

[Chrome v105]

こちらのツイートから。

リンク先はこちら。ルートプログラム自体の発効に伴う微修正という感じっぽい。

www.chromium.org

 

ルートプログラムが発効となり、6月のニュースで取り上げたChrome Root StoreがいよいよChrome 105でリリースされたようだ。

kdnakt.hatenablog.com

これに合わせて、ブラウザの証明書ビューアも、プラットフォーム依存をやめて独自のものになったらしい。

 

[Bulletproof TLS Newsletter #92]

月末なのでBulletproof TLS Newsletterがリリースされた。

www.feistyduck.com

 

トップニュースはSIDH(SIKE)の脆弱性について。

 

Pythonのモジュール管理ツールPIPにtruststore機能が実験的に実装されたらしい。会社がネットワークを管理している場合とかに使うのかな。

sethmlarson.dev

wolfSSL5.4.0がリリースされて、DTLS1.3がサポートされたらしい。

www.wolfssl.com

同じく、QUICもサポートされた。OpenSSLでも同じようなAPIが提案されていたが、こちらはリジェクトされたらしい。

www.wolfssl.com

GoogleのCloud Certificate ManagerがGAしたらしい。

cloud.google.com

 

[その他のニュース]

ACME DNS-ACCOUNT-01チャレンジ

こちらのツイートから。

リンク先のサイトはこちら。

https://daknob.github.io/draft-todo-chariton-dns-account-01/draft.txt

 

証明書自動更新のプロトコルACMEで、DNS検証のためにDNS-01チャレンジがあるが、これに問題があるのでDNS-ACCOUNT-01という新しいチャレンジで課題を解決しよう、という話らしい。

そもそもACMEがよくわかってないので、何がいいのかよくわからなかった...。

 

▼thelatticeclub.comの証明書エラー

Bulletproof TLS Newsletterで紹介されていたhttps://www.thelatticeclub.com/にアクセスしたらこんなエラーが*1。有効期限切れはこれまで何度か見たことあったけど、全然違う証明書がデプロイされてるってのは珍しい気がする。

 

▼パスワードは「2つ」あった

こちらのツイートから。

リンク先の記事はこちら。

www.bleepingcomputer.com

 

ZIPが利用しているPBKDF2アルゴリズムの使用で、64文字以上のパスワードはSHA1ハッシュのASCII表記に変換されてしまう。変換後のハッシュは64文字に満たないので、そのまま利用される、と。

結局元のパスワードがわからないとハッシュの方もわからないので、脆弱性ではない、と書かれていたが、パスワードの長さが短くなってしまうのは問題な気もする。

 

[まとめ]

ネタ枠として、こちらのツイートを紹介して終わります。

*1:アクセスしたのは2022年9月5日午前2時ごろ