2024年9月16日～2024年9月22日に読んだ中で気になったニュースとメモ書きです。

• [TLS WGインターネットドラフト更新]
• [その他のニュース]
  • ▼RHELとPQC
  • ▼HPKP挙動確認ページ
  • ▼サブドメイン検索エンジン
  • ▼DAVEプロトコル
• [おわりに]

[TLS WGインターネットドラフト更新]

こちらのページから。

datatracker.ietf.org

TLSワーキンググループのドラフトが色々と更新されていた。

TLS Flagのドラフトは、ビットの順序に関する説明が消されていた。大事そうな部分な気がするけど、そうでもなかったのかな。

TLS1.3の更新ドラフトは、RFC 8422: Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS) Versions 1.2 and Earlierを更新対象に追加していた。他にも、ServerHelloのlegacy_versionが0x0303でない場合や、legacy_compression_methodが0でない場合に、illegal_parameterアラートで接続を終了すべしという要件が追加されていた。他にも4.4.2.2.  Server Certificate SelectionのServerが削除されて、mTLSに対応した感じの文章になっていたり、色々と変更が多い。

ECHのドラフトは、冒頭に記載されていた「DISCLAIMER: This draft is work-in-progress and has not yet seen significant (or really any) security analysis.」の文章が削除された。十分なセキュリティ分析が実施され、もうすぐ公開される...のか？

[その他のニュース]

▼RHELとPQC

こちらのツイートから。

Red Hatにおけるポスト量子暗号(PQC)インテグレーションの取り組み。RHEL 10でのポスト量子対応を予定。RHEL 9以前へのバックポートは予定なし。Red Hat OpenShiftはRHELを踏襲。Red Hat OpenStackはRHEL 10のOpenstackの統合をもって対応予定。 https://t.co/ukQZZ1XiGs

— kokumօtօ (@__kokumoto) 2024年9月17日

リンク先はこちら。

www.redhat.com

RHEL 10のバージョンでPQC対応予定（ただしデフォルトでは無効化）とのこと。過去のメジャーバージョンリリースサイクルを見てると3年か6年おきくらいに出てる。9が2022年なので、10のリリースは早くて来年だろうか。

証明書まわりでまだ課題がありそうで、標準化には数年かかるだろうとの見方がされている。

▼HPKP挙動確認ページ

こちらのツイートから。

HPKP廃止されて久しいですが、ChromeとEdgeでhttps://t.co/2VqtCJtkdGにアクセスした際の動きが微妙に違う。
Chrome：証明書検証失敗(ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN)
Edge：証明書検証成功→404

— Ichihara Hajime / 市原創 ー『SSL/TLS実践入門』 (@haj18) 2024年9月17日

リンク先はこちら。

https://pinningtest.appspot.com/

ChromeやFirefoxでアクセスすると証明書検証エラーページが表示された。

手元にEdgeがないので、同じChromeベースのブラウザであるArcでアクセスしたところ、証明書検証はパスして404が返ってきた。レスポンスヘッダを見てもPublic-Key-Pinsヘッダーは確認できなかった。どうなってるんだろう...

badssl.comのピンニングのページで試しても同じだったので、何かしらこの辺りの機能にEdgeやArcでは変更が入っていそう？

pinning-test.badssl.com

▼サブドメイン検索エンジン

こちらのツイートから。

サブドメインに特化した検索エンジン。ドメイン名を渡せばそのドメインのサブドメインを列挙するほか、全ドメイン対象に任意の文字列で検索もできる。CTログをもとにサブドメイン情報を蓄積している模様。 / “Subdomain search engine | Merklemap” https://t.co/qxOibmwDcM

— matsuu (@matsuu) 2024年9月21日

リンク先はこちら。

www.merklemap.com

画面を開いているだけでも、ものすごい勢いでサブドメインが増えていくのを観察できて面白い。

▼DAVEプロトコル

こちらのツイートから。

Discord DAVE Protocol Whitepaper https://t.co/vgDjCptO6M めちゃくちゃ面白い。明日から読んでいく。まさか Discord が MLS + WebRTC の E2EE 実装してくるとは ... 。

— V (@voluntas) 2024年9月18日

リンク先はこちら。

daveprotocol.com

Discord's Audio & Video End-to-end Encryption Protocol、略してDAVEということらしい。Messaging Layer Protocol (RFC 9420)は2023年7月に公開されたStandard TrackなRFC。

そのうちSlackのDMとかもMLSになったりするんだろうか。

[おわりに]

TLS1.3のアップデートにあたるRFC 8446bisのドラフト、全体を一度追いかけておいた方が良さそう...general_errorとかいうアラートが追加されてたり、マイナーアップデートとはいえ結構なボリュームがある。