kdnakt blog

hello there.

今週気になったTLS関連のニュース

1週空いてしまいましたが、2022年9月12日~9月25日に読んだ中で気になったニュースとメモ書き(TLSらじお第73回の前半用原稿)です。

 

 

[Chrome Certificate Verifier]

こちらのツイートから。

リンク先の記事はこちら。

blog.chromium.org

 

chromium.googlesource.com

FAQの内容を読んでいると、そもそも証明書の検証に使われるのがプラットフォームのものから、Chrome Certificate Verifierに変更になっているらしい。
組織ポリシーの話はこの辺りに書いてあった。

 

動作確認には、Windowsではこのサイトに、Macではこのサイトにアクセスすれば良いらしい。OSのトラストストアとChrome Root Storeで差分がある証明書を使っているサイトでテストするとのこと。
本記事を執筆しているM1 Mac + Google Chrome 105.0.5195.125(Official Build)(arm64)では、まだChrome Root Storeが有効になっていないのが確認できた。

 

[ACMの動的中間証明書]

こちらのツイートから。

AWSのアナウンスはこちら。

aws.amazon.com

 

PDTで2022年10月11日午前9時なので、JSTだと10月12日午前1時に変更。ルート証明書Amazon Trust Services root CAで変更なし。中間CAの証明書でピンニングしていなければ、まず問題はなさそう。

下位CAの失効が遅れたので、それを改善するのが目的とのこと。

bugzilla.mozilla.org

 

[その他のニュース]

▼RFC9295公開

こちらのツイートから。

RFC9295の本文はこちら。

www.rfc-editor.org

 

2018年のRFC 8410を更新する形。何がだめか明確に書いてなかったので明示した、と。

 

ACM+AWS Nitro Enclaves

こちらの記事から。Nginxはもともと使えたけどApacheに対応したと。

aws.amazon.com

 

Nitro Enclavesはこういう機能でEC2の一部らしい。知らなかった。

aws.amazon.com

 

TLS鍵導出のラベルの意味

こちらのツイートから。

 

大津さんのリプも勉強になる。

 

▼mTLS@Cloudflare

こちらの記事。

zenn.dev

 

クライアント証明書をCloudflareの画面でサクッと用意できるのが便利そう。

Amazon WorkSpacesのアクセスにクライアント証明書を使ったことがあるけどなかなか面倒だった記憶。

 

▼中国のTLS1.3/ESNIブロック(2020年)

こちらのツイートから。

記事自体は2年前のもの。

japan.zdnet.com

 

▼台湾マイナンバーカード(2013年)

こちらのツイートから。

リンク先の論文はこちら

 

 

[まとめ]

こんなツイートもあった。最近TLS自作してるのでとりあえず参加はしてみたものの、Discordを見る習慣がないのでどうなることやら...。