2024年11月18日~2024年11月24日に読んだ中で気になったニュースとメモ書きです。
[証明書有効期間短縮計画への反応]
こちらのツイートから。
賛否まとめわいわい / “AppleがTLSサーバー証明書の有効期間を45日間に短縮することを提案” https://t.co/Gv9OrG4enD
— matsuu (@matsuu) 2024年11月23日
リンク先はこちら。
先週のニュースで伝えた通り、現在の計画では47日に短縮される見込み。
自分は認識してなかったけど、2020年にAppleがSafariで利用する証明書の有効期限を、独自にCA/B Forumの規定より短くしていた件が引き合いに出されているっぽい。メジャーなブラウザ側が強制力を持たせてくると、結局それに合わせざるを得ないので辛い...。
以前の否決された提案というのはこのあたりのことだろうか。これもAppleの人っぽい...。
どうなることやら。
[その他のニュース]
▼SETTLE: SEcure access with Tls To Local rEsources
こちらのツイートから。
[Settle] New Non-WG Mailing List: SETTLE (SEcure access with Tls To Local rEsources)https://t.co/TQgmEks2IO
— ゆき (@flano_yuki) 2024年11月23日
自宅などのローカルドメインにおいて、プリンタやIoT用のサーバ証明書をどうするか話しをIETFでするのか。
W3C HTTPS Localとか、この手の話は定期的にあがるな
リンク先はこちら。
settleは解決する、定住する、折り合いをつける、といった意味の単語。マルウェアとかに利用される新たな問題とならなければいいが...。
▼DNS利用ドメイン検証
こちらのツイートから。
『Domain Control Validation using DNS』https://t.co/MTnM9GiVBw
— ゆき (@flano_yuki) 2024年11月20日
ドメイン所有の証明する仕組みのベストプラクティス。ランダム値のTXTレコード追加させられたりするアレ。
読んでおきたい
リンク先はこちら。
DNSワーキンググループの方で10月にドラフトが出ていた模様。ランダム値は128ビットのエントロピーが必要とか、検証するDNSレコードは既存と衝突しないように先頭にアンダースコアをつけるべしとか。
アンダースコアの話はそういえば先日DigiCertのインシデントで話題になっていた。
▼無料SSLと有料SSLの違い
こちらのツイートから。
さくらインターネットさんの「公式見解」です | 無料SSLと有料SSLって何が違うの?【初心者向けに徹底解説】 https://t.co/qrLcMx3Ucr
— (🍥) (@hdais) 2024年11月20日
リンク先はこちら。
ポイントはなりすまし。
▼acmeARIToolJS
こちらのツイートから。
acmeARIToolJSをdraft-ietf-acme-ari-03対応にしました.
— testtlnls (@testtlnls) 2024年11月19日
mainブランチには,単独版も置いてあります.(現状ではSectigo以外は03のみ対応のようです.)https://t.co/cwO2OZsO6X
OCSP要求を入力した場合は最優先されるようになっています. 03の場合はOCSP要求を空にしてください.
— testtlnls (@testtlnls) 2024年11月19日
03ではEE証明書のみで計算できます. 01の場合はOpenSSLなどでOCSP要求(デフォルトはSHA-1なのでSHA-256を明示)を作成してアップするか,EE証明書と発行者証明書を入力してください.
OCSP要求を使えるようになっているのは,Web Crypto APIがSHA-3に対応していないためです.
— testtlnls (@testtlnls) 2024年11月19日
リンク先はこちら。
https://testtlnls.github.io/acmeARIToolJS/
ドラフトの方は現在バージョン06になっている模様。
▼AWS ALBのmTLSアップデート
こちらの記事から。
2023年のre:InventでALBがmTLSに対応したやつの続報。
TLS1.3のRFC 8446で定義されてるcertificate_authorities拡張をALBがCertificateRequestメッセージで送ってくるようになった、という話っぽい(あとで確かめよう...)。
[おわりに]
次の技術書典のことを考えよう。締め切り......。
