今週気になったTLS関連のニュース

1週空いてしまいましたが、2022年9月26日~10月2日に読んだ中で気になったニュースとメモ書き(TLSらじお第74回の前半用原稿)です。

 

 

[DoHとDoT]

こちらのツイートから。

リンク先の記事はこちら。

ooni.org

 

抗議デモへの対抗措置として当局によるインターネットへの検閲が強化され、モバイルネットワークが停止されたらしい。
DNS over HTTPSを使えなくしたり、TLSTCPのレベルでブロックしたりと各種SNSへのアクセスができなくなっているとのこと。

ところで、DNS over HTTPS (DoH)とDNS over TLS (DoT)は別らしい。

DNS over TLSRFC 7858で2016年から提案中の仕様で、2018年にRFC 8310で更新があった。ポート853を利用し、TLS1.2でハンドシェイクを行う(RFC 8310でTLS1.3がオプションとして提案された)。ポート853ではDNSの平文は絶対に送らないこと、とされている。暗号化された後の通信では、複数のDNSクエリをまとめて送信できるらしい。
Wikipediaによると、CloudflareやGoogleDNS over TLSDNSゾルバを提供している。

一方、DNS over HTTPSRFC 8484で2018年から提案中の仕様。HTTPS(TLS1.3)で接続して、1つのDNSクエリを1つのHTTPリクエストとして送信する。POSTメソッドまたはGETメソッドが利用可能。ただし、HTTPのキャッシュの仕組み上、GETを使うとフレンドリーとのこと。レスポンスのContent-Typeはapplication/dns-messageになる。
Wikipediaによると、HTTPSTLSセッションが維持されたり、CookieやUser-Agentヘッダが利用されることで端末の追跡が可能になるため、プライバシー上の問題がありそう。

 

[Bulletproof TLS Newsletter #93]

#93が公開された。

www.feistyduck.com

 

Let's Encryptの設立者の1人Peter Eckersley氏が43歳で亡くなったとのこと。若い...合掌。Let's Encryptと並行してACMEの開発もおこなっていたらしい。

第31回のUSENIX Security SymposiumでDANEの設定ミスに関する研究が発表された。TLSAレコードの30%はチェーンのミスで検証できず、3.6%は誤った証明書がデプロイされていたとか。

NISTが追加の耐量子署名アルゴリズムを募集しているらしい。第4ラウンドに残った鍵カプセル化カニズムとしては複数の候補があるものの、署名アルゴリズムとしては検討中のものがないため、とのこと。

先のイランのニュースに関係して、SignalというSNSにアクセスするためのTLSプロキシSNS自身がOSSとしてGitHub上で公開しているらしい。使っているNginxが1.18.0とやや古いのが気になるが...。

 

[その他のニュース]

▼パブリックWiFi

こちらのツイートから。

リンク先の記事はこちら。

educatedguesswork.org

 

Androidアプリは独自の証明書検証を実装して問題になるケースが多いらしい。Googleが対策はしているもののダメなケースが多いとか。iOSはどうなってるんだろう?

www.usenix.org

 

AWS Private CA

こちらのツイートから。

リンク先の記事の日本語版はこちら。

aws.amazon.com

 

ACMのPrivate CA機能が単体のサービスに昇格してAWS Private CAという名前になったらしい。コンソールも別になったとのこと。確かにプライベートCAとパブリックCAでは目的が異なるので当然といえば当然か。

コンソールのアクセシビリティ改善とか地味だけど重要なアップデートもこっそりお知らせされていた。

コンソールのアクセシビリティも向上し、スクリーンリーダーのサポートの向上、運動障害のある方向けに Tab キーによる移動の強化

 

▼TLS1.3 ClientHello

こちらのツイートから。

リンク先はこちら。

github.com

 

こっちの方が見やすいかな...TLS1.2QUICもあるし。

tls13.xargs.org

 

[まとめ]

自分が43歳で死ぬとしたら、何を残せるだろうか、とか考えてしまった...。