2024年8月5日~2024年8月11日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじおは今週はおやすみ。
[DigiCertインシデント続報]
こちらのツイートから。
A company found it easier to sue DigiCert and get a restraining order to prevent the revocation of their certificates than to simply rotate a few certificates… 🤯https://t.co/Kr9Y6S9LhG
— Scott Helme (@Scott_Helme) 2024年8月7日
【自分用メモ】DigiCertは本件で(たぶん顧客から)訴訟されている模様。
— Yasuhiro Morishita (@OrangeMorishita) 2024年7月31日
Alegeus Technologies LLC v. DigiCert, 2:24-cv-00534 – https://t.co/ujBDMalZsT https://t.co/tK1s3Tc4yc
(DeepL)
— Yasuhiro Morishita (@OrangeMorishita) 2024年7月31日
"TRO に対する2件の一方的申し立てを認める決定。DigiCertに対し、7日間、または裁判所が本申立に対する審問を予定できるようになるまで、Alegeusのウェブサイトのセキュリティ証明書を取り消すことを禁止する。"
【自分用メモ】裁判所命令で失効を禁止された件、早速Mozillaのフォーラムにそれを問題視するスレッドが立った。
— Yasuhiro Morishita (@OrangeMorishita) 2024年8月1日
Lawyers, (no) Guns, and Money and the CA system https://t.co/6jqOxzxMUH
DigiCertで長年CAを担当していたJeremy Rowley氏、今回の誤発行の件で同社を退職されるとのこと。
— Yasuhiro Morishita (@OrangeMorishita) 2024年8月5日
"I apologize to the community and our customers for the events and circumstances that led to this incident. This incident made me realize that I am no longer the person for this role."
DigiCertは8/3 20:47 UTCに、本件に該当する83,267枚の証明書の失効を完了したとのこと。
— Yasuhiro Morishita (@OrangeMorishita) 2024年8月5日
"On Saturday, August 3, 2024, 20:47 UTC, DigiCert completed the revocation of the 83,267 certificates affected by this bug, without exception."
「うちはmany other CAsと異なり、すべての証明書を例外なくすべてちゃんと失効させました!」 https://t.co/ftmBmEbRgK
— Yasuhiro Morishita (@OrangeMorishita) 2024年8月5日
なお、DigiCertが発行した1,308枚のS/MIME証明書にも同じ誤発行があったとのことで、これらも失効させる予定とのこと。
— Yasuhiro Morishita (@OrangeMorishita) 2024年8月5日
(こんなに完璧なインシデントレポートを出す担当者が、引責辞任しなければならない世界)
— Yasuhiro Morishita (@OrangeMorishita) 2024年8月5日
1910322 - DigiCert: Random value in CNAME without underscore prefix https://t.co/ffMMaRFHaf
セキュリティ担当者としては優秀だけど、セキュリティ機能要件が仕様通りかすら検証せずにセキュリティプロダクトをリリースすることを可能とする体制を許したのはCISOとして致命的な気もする。 https://t.co/4tR8vYV5Wj
— kokumօtօ (@__kokumoto) 2024年8月5日
きちんと落とし前をつけてきたからこそCAとして業務を継続できている…(検索避けみたいな火消しは大目に見るとして)
— kokumօtօ (@__kokumoto) 2024年8月5日
その辺りの肌感覚は流石というべきでしょうか。
リンク先はこちら。
https://www.courtlistener.com/docket/68995396/alegeus-technologies-llc-v-digicert/
今回は責任とって辞めることになったけど、bugzillaのチケット上のコメントでも触れられているように、本来的にはインシデントの結果としての辞任というのはあまり求められてないっぽい。
とはいえCXOクラスになるとそういう責任の取り方になる、のだろうか...。
[その他のニュース]
▼TLS Encrypted Client Hello draft 19 & 20
こちらのツイートから。
TLS Encrypted Client Hellohttps://t.co/o1C6EOzcqV
— ゆき (@flano_yuki) 2024年8月5日
draft 19。draft 20も出てる けど変更のメインはこっち#yuki_id
リンク先はこちら。
差分を見るとリトライ周りの処理に変更が入っている様子だがよくわからない...。
▼Erlang/OTPのTLS実装解説
こちらのツイートから。
Building Trust in Open Networks by Ignela Andin | Code BEAM Europe 2023 - YouTube https://t.co/jKiL5B3R2s Erlang/OTP の TLS 実装解説。Erlang は TLS 関連が自前実装。暗号部分だけ OpenSSL 使ってる。
— V (@voluntas) 2024年8月8日
リンク先はこちら。
証明書の検証まわりとかの実装の話が面白かった。日付のフォーマットが証明書によってはめちゃくちゃだったり、国コードが2桁じゃなくて3桁(特にUSA)になってたり...大変そう。
▼Let's Encrypt4.5億ドメイン
こちらのツイートから。
Now serving more than 450 million domains ✨ pic.twitter.com/mqsyEX8Kk4
— Let's Encrypt (@letsencrypt) 2024年8月7日
アクティブなFQDNとして4.5億件でLet's Encryptが使われてるらしい。すごい...。
▼Performance Tuning with OpenSSL
こちらのツイートから。
Performance Tunning with OpenSSL - YouTube https://t.co/5ebpuuWkVb 動画公開されてた。
— V (@voluntas) 2024年8月9日
リンク先はこちら。
最適なOpenSSLのビルドオプションは...みたいなところから始まってて強い。no-asmオプションはいいぞ、という話があったけど、場合によってはそうでもないみたいな書き込みもあってよくわからない。パフォーマンス検証はちゃんと計測しないとな...。
https://groups.google.com/g/tortoisesvn-dev/c/0_VDFmvLJUQ
しかし最近のYoutubeは文字起こしがしっかりしてて便利だ。
[おわりに]
ちまちまTLSの実装を続けてます。そろそろServerHelloをパースするところを終えたい...。
