kdnakt blog

hello there.

今週気になったTLS関連のニュース #156

2024年5月6日~2024年5月12日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第156回分。

[DigiCertのガイドライン違反EV証明書失効]

こちらのツイートから。 

リンク先はこちら。

knowledge.digicert.com

DigiCertから、EV証明書に問題があるため証明書を失効させるとのアナウンスがあった模様。証明書を発行するシステム側に問題があり、証明書のSubjectに記載のBusiness Categoryフィールドについて、大文字小文字の表記に誤りがあったことが原因とのこと。

Baseline Requirementsに規定があるのは「問題のある証明書を5日以内に失効せよ」という方で、大文字小文字に関連する規定はどうやらEV Guidelinesの方のよう。

やっぱちゃんとしてるところはこうやってすぐダメな証明書を失効するよね...再発行も無償でやってくれるっぽい。Entrustくんはどうかな...こんなツイートもあるけど。

mufg.jpは失効期限の4時間前くらいに対応が終わった様子。お疲れ様です...。

[その他のニュース]

▼Fakenet-NGでMITM

こちらのツイートから。

リンク先はこちら。

migawari-iv.hatenablog.com

FakeNet-NGという動的ネットワーク分析ツールがあるっぽい。マルウェア分析やペネトレーションテストで利用でき、上記記事中では「インターネットサービスシミュレータ」として紹介されている。

github.com

上記記事では、マルウェアの通信先に応じて自動的にサーバ証明書を作る部分を自作した話が紹介されている。RFCとか読み込んでサクッと作っててすごい。

ルート証明書はどうするんだろう?と思ったら、自作CA証明書をOSのルートトラストストアに登録して信頼させていた。マルウェアが独自のトラストストアを設けているようなケースだと使えなさそうだけど、どうなんだろう。

Cookie改訂仕様RFC6265bis

こちらのツイートから。

リンク先はこちら。

asnokaze.hatenablog.com

TLS関連で言うと、非セキュアなオリジンからsecure属性がついたCookieの上書き禁止が重要そう。セッション固定化攻撃とかの対策になる。

Expires属性が2桁の場合の処理とかは22世紀が近づいたら変わるんだろうか...まあ自分生きてないから関係ないけど。

iOS LINEクライアントの証明書検証不足

こちらのツイートから。

リンク先はこちら。

nvd.nist.gov

よくこんなの見つけるなあ...。MITMで送信されるログを傍受できた可能性があるってことかしら。金融ってことはクレジットカード番号とか銀行口座番号とかも含まれてるかも?

▼Stale TLS Certificate

こちらのツイートから。

リンク先はこちら。

dadrian.io

90年代00年代の平文での通信と、今日のPQCを利用しない通常のHTTPS通信は必ずしも同じではないよ、と言うブログ。

最後の方で、Stale TLS Certificateという2023年の論文に言及されていた。
証明書が有効であっても、現在の398日の有効期限内では、基盤となるDNSの管理(ネームサーバやCNAME)などの変更によってそもそも証明書の情報が古い不適切な状態になり、なりすまし等の被害を受ける可能性があるとの指摘。証明書の有効期限を90日に短縮することでこうした被害の75%を防げるとの主張。

やっぱり証明書の有効期限は短くなる流れなんだろうか...。

▼TechFeed Experts Night vol.29「HTTP3/QUIC…Webプロトコル最前線」

こちらのツイートから。

リンク先はこちら。

techfeed.io

YouTubeで見れるっぽい。仕事のMTGが被ってなければ見てみようかな。

www.youtube.com

tombow.comの証明書有効期限切れ

こちらのツイートから。

なかなか珍しい事例な気もする...。自分は普通にアクセスできた。

▼kkebo/DNSecure

こちらのツイートから。

リンク先はこちら。

github.com

DNSecure

DNSecure

  • Kenta Kubo
  • Utilities
  • Free

apps.apple.com

iPhoneにインストールしてみた。Google(8.8.8.8)とかCloudflare(1.1.1.1)が使えるっぽい。どれにしようかな...。

[おわりに]

技術書典16に向けた進捗50%くらいです。ピンチ...GWとはなんだったのか。