2024年6月24日~2024年6月30日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第163回分。
[Entrust Certificate Distrust]
こちらのツイートから。
なんと...
— Yurika (@EurekaBerry) 2024年6月27日
ポッドキャストでも取り上げた連続インシデントの件で、 商用CA老舗 Entrust が、Choromeの「信頼されるルートCA」から外されることになったようです....
Sustaining Digital Certificate Security - Entrust Certificate Distrusthttps://t.co/A4IeOmnowr https://t.co/LFOv9DCxGt
リンク先はこちら。
老舗CAであるEntrustがついにGoogle Chromeで信頼されなくなることが決定した。Chrome 127(2024年7月)以降のリリースを通じて、2024年10月31日以降に発行されるEntrustの証明書を信頼しないようにするとのこと(ローカルで個別にインストールされている場合を除く)。ChromeのConstraintSetという機能で制限するらしい。対象となるルート証明書にはEntrustがかつて買収したAffirmTrustのものも含まれている。
過去の類似事例がRyan Hurst氏のブログにまとまっており、Entrustが14件目のCAであるらしい。
📝 これまで WebPKI 界でおきた、「信頼されるルートCA」から外されたCAたちのリスト まとめ
— Yurika (@EurekaBerry) 2024年6月28日
Exploring Browser Distrust: Case Studies of WebPKI CA Incidentshttps://t.co/zCCBFris7U
Ryan Hurst氏も本件についてツイートしている。
Ever wonder how the WebPKI governance model works? read my latest post on "Why We Trust WebPKI Root Certificate Authorities." https://t.co/nsahZAGsQk
— Ryan Hurst (@rmhrisk) 2024年6月26日
リンク先はこちら。
Cryptography & Security Newsletter #114でもトップニュースとして取り上げられていた。
[Cryptography & Security Newsletter #114]
こちらのツイートから。
Cryptography & Security Newsletter is out! In this month's issue:
— Feisty Duck (@feistyduck) 2024年6月27日
- Entrust in Trouble
- EU: The Belgian Presidency Backs Down
- Short Newshttps://t.co/DsU5cyGIt3 pic.twitter.com/K3aREoDDW4
トップニュースはEntrustの件。そしてニュースレター更新の直後に上述のGoogleからのEntrust追放アナウンスが。ダイナミックだ...。
直接に本件を受けてかどうかは不明だが、CAのインシデントが多発していることを受けて、証明書の発行前リンターチェックを必須とするBaseline Requirementsの変更(Ballot SC-75)が導入される模様。
ショートニュースは以下。
[その他のニュース]
▼DigiCertの新CTログサーバ
こちらのツイートから。
Thanks to @DigiCert the WebPKI now has new logs! Let me introduce you to Sphinx and Wyvern2024!
— Ryan Hurst (@rmhrisk) 2024年6月26日
WyvernとSphinxという2系統のCTログサーバが追加された様子。詳細はこちらのメールに。すぐに本番利用可能になるわけではなく、今回のqualifiedステータスになってから約70日後に利用可能になるとか。
▼Root Causes: A PKI & Security Podcast
こちらのツイートから。
This new conversation with Bas Westerbaan of Cloudflare reveals that existing PQC systems present significant problems for incorporation into our existing ecosystems. We explain the problems with existing systems and some options for what to do about it. https://t.co/ep0F2MDHrr
— Tim Callan (@TimCallan) 2024年6月24日
Cloudflareのブログを書いているBas Westerbaan氏がポッドキャストに登場。
他の回も面白そう。
In this episode we are joined by Dr. Dustin Moody, leader of the NIST post-quantum cryptography contest. Dustin gives us an inside view of the background behind NIST's decision to run the contest and how we got to where we are today. https://t.co/UFDjU3TAPu
— Tim Callan (@TimCallan) 2024年6月28日
▼システムポート?ウェルノウンポート?
こちらのツイートから。
RFC 6335でも "System Ports, also known as the Well Known Ports" って表現だけど、呼び方がかわったっていうのはどういう根拠なんだろう。
— Kazuho Oku (@kazuho) 2024年6月27日
0-1023と1024-65535を呼び分ける際に「システムポート」「ユーザポート」と呼ぶほうが良い、というのはわかる(1024より大きな「ウェルノウン」な番号あるし https://t.co/HqzZkHGoEJ
80とか443を適当にウェルノウンポートって呼んでたけど、システムポートの方が適切っぽい。_φ(・_・メモ。
▼AWS ACMのクロス署名廃止
こちらのツイートから。
If you use Amazon public certs through ACM, know that we will no longer cross sign our certs with Starfield C2 starting August. The certs will continue to be cross signed by Starfield G2. We don't expect this to be a very impactful change. Deets here: https://t.co/IJwCbF60hb
— Jonathan Kozolchyk (@seakoz) 2024年6月28日
リンク先はこちら。
ACMのサービス開始時に証明書を信頼させるため、Starfield Services C2ルート証明書とクロス署名を行なっていた。C2を運営するGoDaddyが廃止を計画しているため、今回の変更に至ったと書かれている。
▼Rustで作りながら学ぶ鍵交換と暗号化
こちらのツイートから。
Rustで作る安全なチャット、もとい作りながら学ぶ鍵交換と暗号化
— κeen (@blackenedgold) 2024年6月30日
Making a Secure Chat in Rust | Vaktibabathttps://t.co/HzC9RLuyuK
リンク先はこちら。
写経すると、rustlsとかを理解するのにちょうど良さそう。
[おわりに]
Entrust事件はいったんこれでケリがついた感じなんですかねえ。
