2025年2月3日~2025年2月9日に読んだ中で気になったニュースとメモ書きです。
[SSL/TLS and PKI History更新(2025/02)]
こちらのツイートから。
We have updated our SSL/TLS and PKI History! Check out the latest developments: https://t.co/lUufyvx1cT pic.twitter.com/LiR3qYIU1F
— Feisty Duck (@feistyduck) 2025年2月3日
リンク先はこちら。
本家ニュースレターの追加コンテンツが更新された。今回は2024年以降が更新されているっぽい。内容的には以下の通り。
- Certificate TransparencyがLevchin賞を受賞
- Chromeがハイブリッド耐量子鍵交換を有効か
- Entrust排除
- NISTのPQC標準化
- MPIC(Multi-Perspective Issuance Corroboration)必須化
- CAAレコードがS/MIME証明書にも必須化
MPICの必須化そういえばそんなのあったな...と思い出すなど。MPICに関連するニュースは以下の通り。
[その他のニュース]
▼CVE-2025-23419(Nginx)
こちらのツイートから。
CVE-2025-23419 - Nginx SSL session reuse vulnerability - Upgrade to version 1.26.3 or 1.27.4 now! https://t.co/gyjyT6rDEv https://t.co/LFmjFJaGni
— Frank ⚡ (@jedisct1) 2025年2月5日
リンク先はこちら。
https://www.cve.org/CVERecord?id=CVE-2025-23419
内容的には以下の通り。
Changes with nginx 1.27.4 05 Feb 2025
*) Security: insufficient check in virtual servers handling with TLSv1.3
SNI allowed to reuse SSL sessions in a different virtual server, to
bypass client SSL certificates verification (CVE-2025-23419).
クライアント証明書なので、mTLS関連っぽい。mTLSはなんだかんだバグの話をよく聞くイメージ。ハンドシェイク時のメッセージも増えるし考慮事項が多いんだろうな...。
なんと本件でCloudflareも影響を受けている。よく知らなかったけど、プロキシとしてNginxを利用している様子。
Cloudflare patched a Mutual TLS (mTLS) vulnerability (CVE-2025-23419) reported via our Bug Bounty Program. The issue was mitigated in 32 hours by disabling session resumption for mTLS connections. Here we have details on the background and remediation of the issue.…
— Cloudflare (@Cloudflare) 2025年2月7日
ただ、Nginxだと色々制約があるので、Cloudflareは自分たちでPingoraという別のプロキシを作っていた。まだ完全に置き換わった、というわけではなさそう。
▼NIST Urgent Call & NSA Timeline for PQC
こちらのツイートから。
日本のサイバー界隈だと、#PQC (#耐量子暗号)の話題あまりウケないのですが、コレ米国安全保障界隈だとだいぶ前から少しホットな印象ですよ、先生。近々マイナビさんのセミナーで登壇するので、ウケないかもしれませんが、少しだけ触れてみたいと思います。 https://t.co/HkOxK4GQtk
— Takamichi Saito, 齋藤孝道 (@saitolab_org) 2025年2月8日
リンク先はこちら。
NISTは2030年までに伝統的暗号(非PQC)を非推奨に、2035年までに禁止する予定とのこと。
詳しい話は昨年11月のニュースで取り上げてた。対応できるかなあ...。
また、NSA(国家安全保障局)は2022年時点で、2033年までにブラウザなどにPQCのみを使用することを要求している。こっちの方が期限が短い...。
▼OpenSSL 3.5リリース予定(2025/04/08)
こちらのツイートから。
QUICをサポートするOpenSSL 3.5は2025-04-08にリリース予定。わいわい。 / “OpenSSL 3.5: Upcoming Release Announcement” https://t.co/9Is9KOHgkG
— matsuu (@matsuu) 2025年2月8日
リンク先はこちら。
内容としてはQUICのサポートと、ML-KEM、ML-DSA、SLH-DSAのPQC対応。PQCの署名対応がいよいよ本格化しているけど、ちゃんとしたPQC証明書はいつ使えるようになるんだろう...。
▼Nginx Community Forum開設
こちらのツイートから。
nginx、コミュニティ用フォーラムを開設。メーリングリストへの参加に対して敷居が高く感じていたのであればぜひ活用していきたいところだ。 / “NGINX Community Forum” https://t.co/yigsxo1wXa
— matsuu (@matsuu) 2025年2月8日
リンク先はこちら。
2、3週間前に開設されたっぽい?トラブルシューティングのトピックが役に立ちそう。時々覗いてみようかな...。
▼Taking IP to Other Planets (tiptop)
こちらのツイートから。
Taking IP To Other Planets (tiptop)https://t.co/fplUmCLOxG
— ゆき (@flano_yuki) 2025年2月9日
宇宙でのIP/QUIC/DNS利用などについて検討・整理するWGできた
リンク先はこちら。
QUICだけじゃなくてTLSも入ってそう。宇宙ネットワークどうなるんだろう...。人工衛星レベルの通信は普通にできているので、それ以上離れた、月や火星などをターゲットにしているっぽい。自分が生きている間にこういうの実現するんだろうか。
[おわりに]
今週は技術書典準備が進まなかったorz
