2022年12月5日~12月11日に読んだ中で気になったニュースとメモ書き(TLSらじお第84回の前半用原稿)です。
といいつつその前の週にまとめ損ねたニュースもあるので、それもまとめて。
[TrustCorルート証明書削除]
こちらのツイートから。
Mozilla, Microsoft drop TrustCor as root certificate authority https://t.co/SZmccYo5Cx
— Nicolas Krassas (@Dinosn) 2022年12月2日
リンク先はこちら。
Mozillaの人がメーリングリストで、TrustCor RootCert CA-1, TrustCor ECA-1, TrustCor RootCert CA-2の3つのルート証明書について、削除はせず、2022年12月1日以降のサーバ証明書を信頼しないように設定を変更するとの決定を伝えている。
ただし、その設定フラグが有効になるかどうかはアプリケーション側の問題とのこと。厳しい...。
最近話題のTrustCorの件、Mozillaはca-certificatesからTrustCorのルート証明書を削除せず「2022年12月1日以降に発行された証明書は信用しない」フラグを付与するが、そのフラグを解釈するTLS実装は少なく信用してしまう。oh / “Chris's Wiki :: blog/linux/CARootStoreTru…” https://t.co/lEF8L2E1Np
— 年末u (@matsuu) 2022年12月11日
Ubuntuは2022/12/05にリリースしたアップデートでca-certificatesからTrustCorを削除した模様。バージョン表記は22.04であれば 20211016ubuntu0.22.04.1 になるようだ。https://t.co/Oe68oFtnEV
— 年末u (@matsuu) 2022年12月11日
ChromeのルートストアはこれらしいがTrustCorまだ含まれてるねhttps://t.co/OEQ4e2IH8e
— 年末u (@matsuu) 2022年12月11日
FedoraとRHELはTrustCorのルート証明書をまだ削除してなさそうだ。これ使って確認した。削除予定があるかどうかも不明。https://t.co/Q3v2ZxXLwT
— 年末u (@matsuu) 2022年12月11日
Microsoftは削除したらしい。確かに手元のWindows11で検索してみた限りTrustCorで検索しても出てこない。https://t.co/DyeSCFRWYe
— 年末u (@matsuu) 2022年12月11日
macOSの信頼されたルート証明書にはまだTrustCorが含まれている。macOS Ventura 13.0.1で確認。
— 年末u (@matsuu) 2022年12月11日
背景については以前のニュースで取り上げた。
日本語での解説も出ていた。
[Bulletproof TLS Newsletter #95]
TLSニュースレターが公開されていた。
トップニュースはQWACs。フルスイングて...。Mozillaが反対キャンペーンのサイトを立ち上げるなどバチバチやってるらしい。アイコンは可愛いのに...。
その他のニュースで、本ブログで取り上げていないものについて、簡単に触れておく。
耐量子暗号のKyberのライセンスがロイヤリティフリーで利用できるようになったとのこと。シェアを取りに行く戦略だろうか。
ChromeがTLS拡張の順序をランダム化すると発表した。Chromeは以前から、GREASEをリリースするなどして、ClientHelloにランダムな値を注入してTLSの拡張性の維持に努めているのでその延長か。
TLS終端するリバースプロキシがクライアント証明書をバックエンドのサーバに伝えるためのHTTPヘッダ(Client-Cert)の仕様が検討されているらしい。どこで必要なんだろう...。
[その他のニュース]
▼CCADB Sucks
こちらのツイートから。
New blog post: Checking if a certificate is revoked: How Hard Can It Be?https://t.co/mgmfw9ekza
— Andrew Ayer (@__agwa) 2022年12月1日
最近SSLMateというAPIで証明書の失効情報がレスポンスに含まれるようになった話は以前取り上げたが、その実装の苦労話が書かれている。
CCADBのjsonが壊れていたり、CAごとにCRLがDERだったりPEMだったりURLが間違っていたりと散々だったらしい。
▼Qiitaの証明書
こちらのツイートから。
mac Safariでqiitaを見ると証明書警告がでる。
— Gate of Heavenly Peace (@ajiyoshi) 2022年12月5日
証明書発行日2022/12/04
具体的にどこが標準非準拠なんだろ。 pic.twitter.com/Mq9D8mg5uo
自分も少し古いバージョンのSafariで試してみたが特に警告は出なかった。謎。
▼マルウェアの自衛
こちらのツイートから。
Black Hat Europeで紹介されたクラウドセキュリティの迂回事例。全てマイニング関連。DenoniaはDNS over HTTPS (DoH)を使用し、HTTPSリクエスト文字列数千行でバイナリを嵩増し。CoinStompはタイムスタンプ操作、システムの暗号ポリシーの削除、dev/tcpによるリバースシェル。 https://t.co/2OgCrmKW8F
— kokumօtօ (@__kokumoto) 2022年12月10日
DoHを使うことで、送信先のサーバを隠していたとのこと。確かに元々はプライバシー保護のための仕組みなので、正しい使い方ではある...。
また、HTTPSリクエストのUser-Agentヘッダーに数千行の文字列を入れており、セキュリティアナリストの目から逃れようとしていたのではないかと言われている。
[まとめ]
来週はお休みするかも...。