2024年5月6日~2024年5月12日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第156回分。
[DigiCertのガイドライン違反EV証明書失効]
【悲報】SSL/TLS証明書ベンダのデジサート社、顧客に発行済みの一部EV証明書を失効させることに。2023年9月から12月にかけ、フィールド名の大文字小文字を誤った標準違反のEV証明書を発行したため。
— kokumoto (DM) (@__kokmt) 2024年5月7日
…このページ、アラートの一覧にも出ていないし検索にも引っかからないんですよね。なんでかなあ🤔 https://t.co/KFM7Qzw018
リンク先はこちら。
DigiCertから、EV証明書に問題があるため証明書を失効させるとのアナウンスがあった模様。証明書を発行するシステム側に問題があり、証明書のSubjectに記載のBusiness Categoryフィールドについて、大文字小文字の表記に誤りがあったことが原因とのこと。
Baseline Requirementsに規定があるのは「問題のある証明書を5日以内に失効せよ」という方で、大文字小文字に関連する規定はどうやらEV Guidelinesの方のよう。
やっぱちゃんとしてるところはこうやってすぐダメな証明書を失効するよね...再発行も無償でやってくれるっぽい。Entrustくんはどうかな...こんなツイートもあるけど。
デジサートさん、サポート・ニュース・ブログの書くTOPに何も掲示しない上に、同業他社の誤発行をブログの最上段でdisってる……きっと、全顧客に電話してメールを送っているのだろう(と思いたい)https://t.co/OByXcfL23P https://t.co/lTHob5djXn pic.twitter.com/UGOJqiFG0m
— ふじた_🐱♨️💻雑用係 (@nfujita55a) 2024年5月7日
mufg.jpは失効期限の4時間前くらいに対応が終わった様子。お疲れ様です...。
https://t.co/3pOoYM8PxY
— kawataso (@kawataso) 2024年5月11日
5/8付けのログはあるから、まあギリギリだけど差し替えは間に合うんじゃないですかねえ
こちら弊宅の監視で 2024-05-11T21:07:22+0900 に証明書が更新されて解決したようです。ご担当社様お疲れ様でした。 https://t.co/E30FHOB1Ux pic.twitter.com/79ISacDBYE
— Naoki Aoyama (@naa0yama) 2024年5月11日
[その他のニュース]
▼Fakenet-NGでMITM
こちらのツイートから。
GW でやった遊びです。
— MigawariIV (@strinsert1Na) 2024年5月6日
Fakenet-NG 単体で証明書エラー無くHTTPS通信の復号をやらせるまで - 切られたしっぽhttps://t.co/wIXpJx5NQ9
リンク先はこちら。
FakeNet-NGという動的ネットワーク分析ツールがあるっぽい。マルウェア分析やペネトレーションテストで利用でき、上記記事中では「インターネットサービスシミュレータ」として紹介されている。
上記記事では、マルウェアの通信先に応じて自動的にサーバ証明書を作る部分を自作した話が紹介されている。RFCとか読み込んでサクッと作っててすごい。
ルート証明書はどうするんだろう?と思ったら、自作CA証明書をOSのルートトラストストアに登録して信頼させていた。マルウェアが独自のトラストストアを設けているようなケースだと使えなさそうだけど、どうなんだろう。
▼Cookie改訂仕様RFC6265bis
こちらのツイートから。
『Cookieの改訂版仕様 rfc6265bis の変更点』https://t.co/1WE2ejjNl9
— ゆき (@flano_yuki) 2024年5月7日
ブログ書いた#asnokaze
リンク先はこちら。
TLS関連で言うと、非セキュアなオリジンからsecure属性がついたCookieの上書き禁止が重要そう。セッション固定化攻撃とかの対策になる。
Expires属性が2桁の場合の処理とかは22世紀が近づいたら変わるんだろうか...まあ自分生きてないから関係ないけど。
▼iOS LINEクライアントの証明書検証不足
こちらのツイートから。
LINEのiPhoneアプリの金融モジュールのログ送信にあたってTLS証明書の確認をしていなかった模様
— Nat Sakimura/崎村夏彦 (@_nat) 2024年5月7日
Lack of TLS certificate verification in log transmission of a financial module within LINE Client for iOS prior to 13.16.0.https://t.co/Bqk2EfQjyN
リンク先はこちら。
よくこんなの見つけるなあ...。MITMで送信されるログを傍受できた可能性があるってことかしら。金融ってことはクレジットカード番号とか銀行口座番号とかも含まれてるかも?
▼Stale TLS Certificate
こちらのツイートから。
Following up with some thoughts on how to think about migrating HTTPS to post-quantum cryptography. It's similar to the HTTPS adoption effort, but not quite the same because lack of post-quantum security is not the same thing as plaintext.https://t.co/2symnzslHt https://t.co/ojb24u9FyG
— David Adrian (@davidcadrian) 2024年5月7日
リンク先はこちら。
90年代00年代の平文での通信と、今日のPQCを利用しない通常のHTTPS通信は必ずしも同じではないよ、と言うブログ。
最後の方で、Stale TLS Certificateという2023年の論文に言及されていた。
証明書が有効であっても、現在の398日の有効期限内では、基盤となるDNSの管理(ネームサーバやCNAME)などの変更によってそもそも証明書の情報が古い不適切な状態になり、なりすまし等の被害を受ける可能性があるとの指摘。証明書の有効期限を90日に短縮することでこうした被害の75%を防げるとの主張。
やっぱり証明書の有効期限は短くなる流れなんだろうか...。
▼TechFeed Experts Night vol.29「HTTP3/QUIC…Webプロトコル最前線」
こちらのツイートから。
【5/22 19:30開催】 TechFeed Experts Night vol.29募集開始しました❗今回はHTTP3/QUIC…Webプロトコル最前線をテーマに、以下の豪華ゲストと語り尽くします!@Shumpei@flano_yuki@komasshu@kazuho
— TechFeed公式 (@techfeedapp) 2024年5月9日
ご参加お待ちしております😊https://t.co/e3AsbsDGYA
リンク先はこちら。
YouTubeで見れるっぽい。仕事のMTGが被ってなければ見てみようかな。
▼tombow.comの証明書有効期限切れ
こちらのツイートから。
トンボ鉛筆、サーバー証明書の期限が切れたまま1000日以上経過している…
— Miyahan (@miyahancom) 2024年5月9日
たぶん、
・3年前に常時SSL化を試験導入してそのまま放置
・Webブラウザ等が443ポートへの接続性があることを検知し、勝手にHTTPSにアップグレード
・HTTPSでアクセスするも証明書が切れててエラー
のコンボ pic.twitter.com/wKsKLlSYHu
あれ、リロードしたらvaildな証明書が降ってきた。
— Miyahan (@miyahancom) 2024年5月9日
LB配下のどれかのWebサーバーで入れ替えるの忘れてる…?
なかなか珍しい事例な気もする...。自分は普通にアクセスできた。
▼kkebo/DNSecure
こちらのツイートから。
最新のiOS/iPadOS/macOSはDoT(DNS-over-TLS)やDoH(DNS-over-HTTPS)に対応しているものの設定するためのUIを備えていないので、それを設定するためのアプリ。iOS用とmacOS用がありどちらもApp Storeからインストール可能。わいわい / “GitHub - kkebo/DNSecure: DNSecure is…” https://t.co/MMoOp3r0t9
— matsuu (@matsuu) 2024年5月12日
リンク先はこちら。
iPhoneにインストールしてみた。Google(8.8.8.8)とかCloudflare(1.1.1.1)が使えるっぽい。どれにしようかな...。
[おわりに]
技術書典16に向けた進捗50%くらいです。ピンチ...GWとはなんだったのか。
