kdnakt blog

hello there.

今週気になったTLS関連のニュース

2022年12月5日~12月11日に読んだ中で気になったニュースとメモ書き(TLSらじお第84回の前半用原稿)です。
といいつつその前の週にまとめ損ねたニュースもあるので、それもまとめて。

 

 

[TrustCorルート証明書削除]

こちらのツイートから。

リンク先はこちら。

www.theregister.com

Mozillaの人がメーリングリストで、TrustCor RootCert CA-1, TrustCor ECA-1, TrustCor RootCert CA-2の3つのルート証明書について、削除はせず、2022年12月1日以降のサーバ証明書を信頼しないように設定を変更するとの決定を伝えている。
ただし、その設定フラグが有効になるかどうかはアプリケーション側の問題とのこと。厳しい...。

 

背景については以前のニュースで取り上げた。

kdnakt.hatenablog.com

日本語での解説も出ていた。

gigazine.net

 

[Bulletproof TLS Newsletter #95]

TLSニュースレターが公開されていた。

www.feistyduck.com

トップニュースはQWACs。フルスイングて...。Mozillaが反対キャンペーンのサイトを立ち上げるなどバチバチやってるらしい。アイコンは可愛いのに...。

securityriskahead.eu

その他のニュースで、本ブログで取り上げていないものについて、簡単に触れておく。

耐量子暗号のKyberのライセンスがロイヤリティフリーで利用できるようになったとのこと。シェアを取りに行く戦略だろうか。
ChromeTLS拡張の順序をランダム化すると発表した。Chromeは以前から、GREASEをリリースするなどして、ClientHelloにランダムな値を注入してTLSの拡張性の維持に努めているのでその延長か。
TLS終端するリバースプロキシがクライアント証明書をバックエンドのサーバに伝えるためのHTTPヘッダ(Client-Cert)の仕様が検討されているらしい。どこで必要なんだろう...。

 

[その他のニュース]

▼CCADB Sucks

こちらのツイートから。

最近SSLMateというAPIで証明書の失効情報がレスポンスに含まれるようになった話は以前取り上げたが、その実装の苦労話が書かれている。
CCADBのjsonが壊れていたり、CAごとにCRLがDERだったりPEMだったりURLが間違っていたりと散々だったらしい。

 

▼Qiitaの証明書

こちらのツイートから。

自分も少し古いバージョンのSafariで試してみたが特に警告は出なかった。謎。

 

マルウェアの自衛

こちらのツイートから。

DoHを使うことで、送信先のサーバを隠していたとのこと。確かに元々はプライバシー保護のための仕組みなので、正しい使い方ではある...。
また、HTTPSリクエストのUser-Agentヘッダーに数千行の文字列を入れており、セキュリティアナリストの目から逃れようとしていたのではないかと言われている。

 

[まとめ]

来週はお休みするかも...。