先週に続き、2022年8月29日～9月4日に読んだ中で気になったニュースとメモ書き（TLSらじお第71回の前半用原稿）です。

 

• [TLSフィンガープリント]
• [Chrome v105]
• [Bulletproof TLS Newsletter #92]
• [その他のニュース]
  • ▼ACME DNS-ACCOUNT-01チャレンジ
  • ▼thelatticeclub.comの証明書エラー
  • ▼パスワードは「2つ」あった
• [まとめ]

 

[TLSフィンガープリント]

こちらのツイートから。

curl’s TLS fingerprint https://t.co/tfku36Ly7C

— /r/netsec (@_r_netsec) 2022年9月2日

リンク先の記事はこちら。

daniel.haxx.se

 

TLS接続のハンドシェイク時のパラメータのパターンは、クライアントソフトウェアによって異なる。従って、ハンドシェイクを観測することで、指紋のようにクライアントを判別するのに利用できるらしい。判別方法の一つがJA3という。

engineering.salesforce.com

 

これを使って、curlっぽいアクセスを弾くサイトがあるとか。botがcurlを使ってアクセスしてるからではないか、と。なるほど。

当然、ブロックを避けるための色々な方法がある。ブラウザ風に見せかける改造版のcurlもあれば、ヘッドレスブラウザを利用することもできる。

github.com

 

[Chrome v105]

こちらのツイートから。

【自分用メモ】Chrome Root Program Policyがバージョン1.2になった。
何が変わったんだろう。
Chrome Root Program Policy, Version 1.2 https://t.co/XOC36WTiaw

— Yasuhiro Morishita (@OrangeMorishita) 2022年9月1日

リンク先はこちら。ルートプログラム自体の発効に伴う微修正という感じっぽい。

www.chromium.org

 

ルートプログラムが発効となり、6月のニュースで取り上げたChrome Root StoreがいよいよChrome 105でリリースされたようだ。

kdnakt.hatenablog.com

これに合わせて、ブラウザの証明書ビューアも、プラットフォーム依存をやめて独自のものになったらしい。

It seems that Chrome got a new certificate viewer 🧐 pic.twitter.com/3oOoiwoLiy

— Scott Helme (@Scott_Helme) 2022年9月3日

switched from using platform cert viewer to our own, in preparation for using our own root store :)

— Emily Stark (@estark37) 2022年9月3日

 

[Bulletproof TLS Newsletter #92]

月末なのでBulletproof TLS Newsletterがリリースされた。

www.feistyduck.com

 

トップニュースはSIDH（SIKE）の脆弱性について。

 

Pythonのモジュール管理ツールPIPにtruststore機能が実験的に実装されたらしい。会社がネットワークを管理している場合とかに使うのかな。

sethmlarson.dev

wolfSSL5.4.0がリリースされて、DTLS1.3がサポートされたらしい。

www.wolfssl.com

同じく、QUICもサポートされた。OpenSSLでも同じようなAPIが提案されていたが、こちらはリジェクトされたらしい。

www.wolfssl.com

GoogleのCloud Certificate ManagerがGAしたらしい。

cloud.google.com

 

[その他のニュース]

▼ACME DNS-ACCOUNT-01チャレンジ

こちらのツイートから。

ACME has this concept of "Challenges". They are used to prove things, for ex control of a domain. One is called DNS-01. Unfortunately, it uses a static label, which limits its use to a single provider. We are proposing a new challenge that addresses this. https://t.co/KJURGoh6tx

— Ryan Hurst (@rmhrisk) 2022年8月30日

リンク先のサイトはこちら。

https://daknob.github.io/draft-todo-chariton-dns-account-01/draft.txt

 

証明書自動更新のプロトコルACMEで、DNS検証のためにDNS-01チャレンジがあるが、これに問題があるのでDNS-ACCOUNT-01という新しいチャレンジで課題を解決しよう、という話らしい。

そもそもACMEがよくわかってないので、何がいいのかよくわからなかった...。

 

▼thelatticeclub.comの証明書エラー

Bulletproof TLS Newsletterで紹介されていたhttps://www.thelatticeclub.com/にアクセスしたらこんなエラーが*1。有効期限切れはこれまで何度か見たことあったけど、全然違う証明書がデプロイされてるってのは珍しい気がする。

 

▼パスワードは「2つ」あった

こちらのツイートから。

AES256モードの暗号化zipでパスワードが64文字以上の場合、その値のsha1ハッシュ値(ASCII表記)も解凍パスワードとして使用できるので、パスワードは実質2つ存在する。わいわい / “An encrypted ZIP file can have two correct passwords — here's why” https://t.co/WAUUFnjdLA

— matsuu(シン・ウー馬場ーイー2) (@matsuu) 2022年9月4日

リンク先の記事はこちら。

www.bleepingcomputer.com

 

ZIPが利用しているPBKDF2アルゴリズムの使用で、64文字以上のパスワードはSHA1ハッシュのASCII表記に変換されてしまう。変換後のハッシュは64文字に満たないので、そのまま利用される、と。

結局元のパスワードがわからないとハッシュの方もわからないので、脆弱性ではない、と書かれていたが、パスワードの長さが短くなってしまうのは問題な気もする。

 

[まとめ]

ネタ枠として、こちらのツイートを紹介して終わります。

公開鍵「わたしと秘密鍵、どっちが大事なの？！」

— 麹 (@oryzae1824) 2022年9月2日