2024年11月25日～2024年12月1日に読んだ中で気になったニュースとメモ書きです。

• [SSL.comのインシデント]
• [Cryptography & Security Newsletter #119]
• [その他のニュース]
  • ▼Entrustのアクション状況
  • ▼Nginx 1.27.3リリース
  • ▼金融機関の耐量子計算機暗号対応
• [おわりに]

[SSL.comのインシデント]

こちらのツイートから。

【自分用メモ】CAAにissue ";" のみが設定されているドメイン名のワイルドカード証明書を発行してしまった件。

1932973 - SSL .com: CAA Empty set handling results in Wildcard issuance https://t.co/qATYm51Fwv

— Yasuhiro Morishita (@OrangeMorishita) 2024年11月27日

リンク先はこちら。

bugzilla.mozilla.org

DNSのCAAレコードでRFC 8659に違反した設定がされている状態でワイルドカード証明書を発行してしまったという問題。

個人的に気になるのは、問題のCAがSSL.comなこと。今年のインシデントNo.1はEntrustの1件でほぼ決まりだと思うが、そのEntrustの業務をルート認証局として支えることになったのがSSL.comである。そこがインシデントを起こしたことでどのような影響があるのかが気になるところ。

と思ったらちょうどEntrustが中間認証局になっている証明書だった...。まあすぐに失効されているから問題ないのだろうか？

crt.sh

[Cryptography & Security Newsletter #119]

こちらのツイートから。

Cryptography & Security Newsletter is out! In this issue:
- NIST Publishes Roadmap for Post-Quantum Transition
- Apple Tweaks Certificate Lifetime Proposal
- Let’s Encrypt Started Ten Years Ago
- There'll Be Some Changes Madehttps://t.co/4DSfFvqwnR pic.twitter.com/dXhffiIsBb

— Feisty Duck (@feistyduck) 2024年11月28日

リンク先はこちら。

www.feistyduck.com

トップニュースはNISTの耐量子暗号移行レポートの件。

続いて、Appleによる証明書有効期間短縮提案、Let's Encrypt10周年の話題。証明書有効期間の短縮については、Stale TLS Certificatesという論文が根拠として挙げられるらしい。読まねば...。

また、最後に、同じく10周年を迎える本ニュースレターについて、いくつかの発表が。
配信スケジュールの月1から週1への変更、ショートニュースの配信方法変更（そういえば最近Twitterアカウントの方でたくさん紹介されていたかも...）、取り扱うトピックの拡大、などが予定されているとのこと。

[その他のニュース]

▼Entrustのアクション状況

こちらのツイートから。

【自分用メモ】Entrustが「やります」と言った項目への取り組み状況。
こういうこともすべてBugzilla・すべて公開の場、が、ここの流儀。

1901270 - Entrust: Action Items from June 2024 Report https://t.co/PPRKewULQG

— Yasuhiro Morishita (@OrangeMorishita) 2024年11月27日

リンク先はこちら。

bugzilla.mozilla.org

順調に消化されていて、最近だとpkilintによる証明書のリンティングが導入された様子。

▼Nginx 1.27.3リリース

こちらのツイートから。

nginx 1.27.3 released yesterday disabled TLS 1.0 and TLS 1.1 protocols by default, nice https://t.co/WUJsaU2kVD

— Michal Špaček (@spazef0rze) 2024年11月27日

リンク先はこちら。

https://nginx.org/en/CHANGES

先々週のニュースで取り上げたコミットがリリースになった模様。

▼金融機関の耐量子計算機暗号対応

こちらのツイートから。

公開された。
よんでね。https://t.co/khXboj0wgc

— 松本　泰 (@yas_matsu) 2024年11月26日

10/18（金）に開催いたしました 「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」（第３回）について、議事要旨を掲載しました。また、本検討会での議論を踏まえた成果物を公表しました。#金融庁
🔽詳細は以下をご覧ください。https://t.co/Cpg7A0XAlc https://t.co/5k2V5Stvb7

— 金融庁 (@fsa_JAPAN) 2024年11月26日

リンク先はこちら。

www.fsa.go.jp

HNDL（Harvest Now Decrypt Later）攻撃に備えて、早めにTLS鍵共有の耐量子化を進めましょう、という話。あとは、TLS1.3じゃないとダメなので、TLS1.2からアップグレードしましょうねって話とか。はい...。

[おわりに]

情報収集の方法も常にアップデートしていかねば...！