2023年9月25日~2023年10月1日に読んだ中で気になったニュースとメモ書き(TLSらじお*1第125回の原稿)です。
全文を公開している投銭スタイルです。
[ドコモ口座のドメイン失効]
こちらのツイートから。
流石にちょっとあり得ないと思うんだけど、例のドコモ口座の運用ドメインがサ終(d払いに統合)に伴い失効したようで、その後スクワッティングされて最終的にオークションにかけられてるんだけど、ドコモ、マジでどういう神経してんの??? https://t.co/deThsTN506
— 🌊🐳🐋🐬 (@cetacea) 2023年9月23日
ちょうど数十分前にお名前.comドメインオークションが終わって、https://t.co/NJJV8HoIn1 は322万円、https://t.co/WIdxekWG4Y は402万円でそれぞれ落札されていた……https://t.co/EDXAaM6viI https://t.co/DxMJ2skDJo pic.twitter.com/Nd3y0vaHx3
— Torishima / INTP (@izutorishima) 2023年9月25日
その後、ドコモから追加の回答があり、「ドコモ口座のドメインは現在ドコモが保有しており、悪用される心配はない」とのことです。
— 山口健太 / Kenta Yamaguchi (@yamaguc_k) 2023年9月26日
記事にも追記しました。 https://t.co/hO6nDpLXrR
リンク先はこちら。
うっかりドメインを手放してしまうドコモさんサイドにも問題がなくはないが、金融系の重要なドメインをホイホイオークションにかけてしまうお名前.comさんサイドにも問題があるような...。デジタル庁も頑張って。
先週のイーサリアム取引所BalancerのDNSに対するソーシャルエンジニアリングの事例もなかなか怖いけど、サービス終了してもドメインの取り扱いには気をつけないとな...。
[Firefoxのアドレスバー変更]
こちらのツイートから。
https通信の場合に「https://」が表示されなくなりhttp通信の場合に「http://」が表示されるようになる。ええんちゃうか。 / https://t.co/9A1cgjVnSA
— matsuu (@matsuu) 2023年9月24日
リンク先はこちら。
元のチケットを見ると、2014年から議論されていたことが分かる。
bugzilla.mozilla.orgロックアイコンやEV証明書の緑色の表示など、Chromeでは捨てられてしまったものも当時は重要だったのが見てとれる。IE、BraveやSafariなど他のブラウザとの違いも議論されていて面白い。
https://がもはやデフォルトだとしたら、10年後にはPQC対応かどうかを示すUIができてたりするんだろうか...。
[Bulletproof TLS Newsletter #105]
こちらのツイートから。
Bulletproof TLS Newsletter is out! In this issue:
— Feisty Duck (@feistyduck) 2023年9月27日
- Microsoft’s Compromised Private Key
- Short news from this monthhttps://t.co/4I4pzkt9wj pic.twitter.com/i6ijP9zNhk
リンク先はこちら。
トップニュースはマイクロソフトの署名鍵流出。マイクロソフトさんでもこんな事例があるんだな...と思ったけど、プロフェッショナルSSL/TLSの第4章でも何度も狙われている事例が出ているし、でかい組織はそれはそれで大変だな。
その他のニュースで気になったのは以下の通り。
- スノーデン文書の新リークはこのサイトが元ネタっぽい
- ChromeのECH対応がバージョン117でリリースされた(他にもロックアイコンの変更などいろんな変更が入ってる)
- OpenSSL 1.1.1がEOLを迎えた
- OpenSSLのscep384r1の楕円曲線のパフォーマンスが改善された
- PQCカンファレンスが11月に開催予定
[その他のニュース]
▼Chrome 117
こちらのツイートから。
Chromium has enabled ECH by default pic.twitter.com/mGd6YVhxSN
— 🎻 Eric Lawrence (@ericlaw) 2023年9月28日
ECH(Encrypted ClientHello)がデフォルトになったChrome 117がリリースされたらしい。これに対応するように、CloudflareがECHを全てのプランで利用可能にしている。
こちらのリリースノートによると、鍵アイコンの更新、ECHの他にも、以下の更新があった。
SHA-1サーバ署名の件は、RFC9155にあるようにServerKeyExchangeでの利用とかだろうか。TLS1.3を利用している場合はあまり関係なさそう。
X509の拡張の件は、digitalSignatureの鍵使用フラグが、パブリックなルート証明書ではすでに必須だったものが、オレオレ証明書でも必要になるという話らしい。
▼QUIC in Space
こちらのツイートから。
『QUIC in Space』
— ゆき (@flano_yuki) 2023年9月25日
宇宙のような数分レベルのネットワーク遅延がある環境における、QUICの課題についてhttps://t.co/qE15GLTjSV#yuki_id
リンク先はこちら。
新しいインターネットドラフト。
火星だと遅延が最大20分らしい。ハンドシェイクするのに1時間かかるとか笑えないし、なんならWebアプリとかのセッションの方が先に切れそう。そうなったらもうWebじゃない何かになるんだろうな...。
▼qpackバージョンネゴシエーション
こちらのツイートから。
The qpack_static_table_version TLS extensionhttps://t.co/zInIgbVZBK
— ゆき (@flano_yuki) 2023年9月26日
HTTP/3のヘッダ圧縮に使われているQPACKのバージョン(というかレコード数)をネゴシエーションすると。
静的テーブルに追加エントリを定義したいってことやね#yuki_id
リンク先はこちら。
こちらも新しいドラフト。
HTTP/3用のqpack_static_table_versionという新しいTLS拡張がClientHelloに含まれるらしい。TLSレイヤでアプリケーションプロトコルのネゴシエーションを行うALPNをさらに押し進めたような感じ。なるほどなあ。
▼AWS WAF meets JA3
こちらの記事から。
AWSのアップデート。JA3フィンガプリントはTLSハンドシェイクの情報を元にクライアントを識別するための仕組み。2022年には、CoudFrontがJA3フィンガプリントをサポートしたが、今回はWAFが同様のサポートを追加。API GatewayやALBでも利用しやすくなった、かな?
▼Nginxの再起動なし証明書ローテ
こちらのツイートから。
SSL/TLS Certificate Rotation Without Restarts in NGINX Open Source https://t.co/3D9c3scGsV
— 雑u Bot (@matsuu_zatsu) 2023年9月28日
リンク先はこちら。
NginxのJavaScriptモジュールnjsの共有辞書機能を利用することで、ワーカープロセス間で効率的にデータ交換ができるようになったのを利用しているらしい。
▼証明書有効期限短縮問題とGlobalSignのコメント
こちらのツイートから。
企業は証明書の自動化の義務化に向けて準備を進めなければなりません
— キタきつね (@foxbook) 2023年9月29日
The clock is ticking for businesses to prepare for mandated certificate automation #HelpNetSecurity (Sep 28)https://t.co/2BqbC28WKd
リンク先はこちら。
Googleの証明書有効期限短縮ポリシーによって証明書更新の自動化が半ば義務付けられようとしている。が、GlobalSignの実施したアンケートによると、20%程度が自動化への専門知識、セキュリティ上の懸念、コストなどの課題を挙げているとのこと。
▼エジプトでの中間者攻撃
こちらのツイートから。
In the year 2023, an Egyptian politician had malware delivered to his phone via MITM when he visited a website that was not using HTTPS.
— Eva (@evacide) 2023年9月25日
This is why we must finish encrypting the goddamn web. pic.twitter.com/IGrvt3L81U
関連する記事はこちら。
政治家の人がHTTPサイトにアクセスした際に中間者攻撃を喰らってマルウェアをインストールさせられてしまったらしい。今時HTTPなんて、という気もするが...。
▼Let's Encryptの割合増加
こちらのツイートから。
About 3 weeks ago @letsencrypt was at 44.51% of unexpired pre-certificates and is now at 67.7% for such a big swing that has to be a big consumer like @Cloudflare changing its issuance practices. If it’s them it’s probably related to what they call backup certificates. I love… pic.twitter.com/vfh8DuU97s
— Ryan Hurst (@rmhrisk) 2023年9月30日
Let's EncryptがHTTPS化に大きく貢献しているのは間違いないと思うが、それでもやはり独占的な状態は望ましくなさそう。
ブログの記事の方には、CTログをもとに計測したことが書かれている。今では200以上のCAがあるものの、上位5つのCAが証明書の98.59%を発行しているとか。
[暗認本:24 中間者攻撃]
引き続き、ニュース以外のメインコンテンツとして『暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』を読んでいく。
今週はChapter 4 公開鍵暗号から、セクション24をざっとまとめた。
[まとめ]
そういえば、もうツイートって呼ばないんだっけ?まあいいか...。
1年半くらい続けてきたこのニュースをまとめて技術書典に出してみることにしました。よろしくお願いします。現在10000字ちょっと...
※以降に文章はありません。投銭スタイルです。