kdnakt blog

hello there.

今週気になったTLS関連のニュース #173

2024年9月9日~2024年9月15日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第173回分。

[Chrome: Network Time for Certificate Verification]

こちらのツイートから。

リンク先はこちら。

asnokaze.hatenablog.com

2017年の論文ではWindows上で3割を超える証明書エラーが時刻設定の問題に起因しているようだ。Androidの方の「不十分な中間証明書」も気になるが...。

時刻のずれ方としては、24時間以上遅れているものが多いようだ。酷いものだと3ヶ月近く遅れているケースもあるという。

原因については正確な理由は不明だが、ソフトウェアライセンスを誤魔化そうとして時刻をずらしているケースがあるのでは、と書かれている。マルウェアによる時刻操作の可能性も指摘されているが、マルウェアによる時刻操作はあまり研究されていないらしい(2017年当時)。

クライアントの時刻が遅れているケースもあるので、証明書を更新して有効期間が新しいものをデプロイすると、クライアント側でまだ開始日を迎えていない扱いになってエラーになるケースとかもあるらしい。

証明書の有効期間を90日にしようとしているChromeにとって、この機能は重要な役割を果たしそう。

ただ、Canaryだからかまだちゃんと動かなさそう?

[その他のニュース]

▼QUIC is not Quick Enough over Fast Internet

こちらのツイートから。

リンク先はこちら。

https://dl.acm.org/doi/10.1145/3589334.3645323

QUICだとパケット数が増えたりローカルでの処理時間が伸びたりしてるのが原因と言われている様子。アプリケーションに近いところのプロトコルよりもそもそもインターネットが速いかどうかが大事っぽい。

この時のTCPで使われたTLSは1.3だったのかとか、同じ鍵交換や暗号のアルゴリズムが使われたのかどうかとかが気になる。

ACM IMC 2024

こちらのツイートから。

リンク先はこちら。

conferences.sigcomm.org

ACM Internet Measurement Conference 2024がマドリードで11月に開かれるらしい。Mutual TLSのセッション気になる。

ACMはAssociation for Computing Machineryの略で、会員になるとO'Reillyの本が読み放題になるやつ。

zenn.dev

▼Palo Altoの次世代FWとPQC

こちらのツイートから。

リンク先はこちら。

www.paloaltonetworks.com

PQCが使われたTLSセッションも可視化できるらしい。耐量子VPN、知らなかったけどそういうのもあるのね。

www.rfc-editor.org

TLS Key Share Predictionドラフト更新

TLSの鍵交換で利用する名前付きグループに関する情報をDNSを通じて配信するTLS Key Share Predictionのドラフトが更新されていた。

author-tools.ietf.org

値がnon-emptyである点や、重複した値が許可されない点などが明記された。

HTTPS for Local Networks

こちらのツイートから。

リンク先はこちら。

github.com

W3Cのイベントで、一般的な認証局からの証明書を取得できない.localや.homeなどのドメインやプライベートIPなどを対象にしたHTTPS通信の実現方法についてのセッションがあるらしい。気になる。

同様の話題を扱うコミュニティグループが2023年まで存在していたが、閉鎖されてしまったとのこと。

▼ML-KEM in Chrome 131

こちらのツイートから。

リンク先はこちら。

security.googleblog.com

ML-KEMとして最終版が出たことで、Kyber時代との互換性がなくなっているらしい。そのため、supported_groupsの新しいコードポイントとしてSecP256r1MLKEM768(0x11EB)とX25519MLKEM768(0x11EC)が提案されており、2024年11月にリリース予定のChrome 131からハイブリッドKyberを廃止し、ML-KEMに切り替える予定とのこと。

datatracker.ietf.org

これに先立ち、BoringSSLもML-KEMをサポートしていた。Adam Langley氏がコード書いてる...!

boringssl.googlesource.com

[おわりに]

コード書いて生きていきたいなあ...。