2024年12月16日~2024年12月22日に読んだ中で気になったニュースとメモ書きです。
[有効期限6日のLet's Encrypt証明書]
こちらのツイートから。
無償TLS証明書のLet's Encrypt さん。2024年のまとめレポートを公開。
— Yurika (@EurekaBerry) 2024年12月19日
さらっと、「来年から有効期間が6日の証明書の発行を始める」 って書いてある👀まじか....
A Note from our Executive Director - Let's Encrypthttps://t.co/pPCgMDqZKm
現在は約5億のウェブサイトが利用しており、発行している証明書は、有効期間90日で、500万枚/日。これが、有効期間6日になると、20倍の、1億枚/日 発行処理を行う予定。 凄すぎる...
— Yurika (@EurekaBerry) 2024年12月19日
しかし、Let's Encryptは実質、WebPKIのシェアを多数掌握しているので、WebPKI 界では、いよいよ短命の証明書が標準になり、失効確認は消滅していくんだな
— Yurika (@EurekaBerry) 2024年12月19日
そういえば発行枚数が増えるってことはCTログも増大するよね。CTログサーバーさんの負荷は大丈夫なんだろうか。現状、CTログサーバーは限られている&Big Techばかりなのと事前に相談もしてるんだろうけども。ますますCTログサーバー(というかWebPKIを担うプレイヤー)は集約される未来が近いのか
— Yurika (@EurekaBerry) 2024年12月19日
関連する背景情報:
— Yurika (@EurekaBerry) 2024年12月19日
・WebPKIでのTLS証明書は自動化が進んでいる
・有効期間が短い証明書は、Google が提唱し、業界への働きかけをしているhttps://t.co/V4HBpdANzh
・Google/ChromeはLet’s Encryptの財政面・技術面での大きな支援者
リンク先はこちら。
Noteってタイトルだったから読み飛ばしてたけど、しれっと大事なことが書いてあったorz。6日間て...。
現在は1日500万件の証明書発行だが、これにより1日1億件の証明書発行を行う可能性もあるとのこと。20倍...。
日本語の記事も出ている。
ocspがギブアップされたので結局CRLをリアルタイムにチェックなどできないということでCRLチェックの代わりに有効期限だけをみるようになったという話という理解
— ますだまさる (@m_masaru) 2024年12月19日
Let's Encrypt 6日間有効な新TLS証明書の提供開始を発表 https://t.co/7Vs6B3m8c1
そもそも全世界の紛失した鍵を全世界のクライアントがリアルタイムに同期する仕組みが回るわけないんだよな。それもSSL通信する毎に
— ますだまさる (@m_masaru) 2024年12月19日
CRLを各CAが自己発行したものだけに集約してサーバーが自分の鍵はリボークされてないですという期限付き署名をCAにリクエストして証明書にstapleするぐらい効率化すればいけるのではとしたのがOSCP stapling
— ますだまさる (@m_masaru) 2024年12月19日
OSCPではなく証明書自体の期限を6日にしてしまうというのがこれ
気になるのはOSCPはギブアップしたのにこれをギブアップしない理由がよく分からない
— ますだまさる (@m_masaru) 2024年12月19日
SSHでこういう問題が起きないのは全世界共通の第三者認証機関とかいないから有象無象に使わせることによる大量リボークが発生しないため
— ますだまさる (@m_masaru) 2024年12月19日
Yurikaさん、ますださんが指摘されているように、単に有効期間が短くなるというだけではなく、周辺のエコシステムにも大きな影響がありそう。どうなることやら...。
[その他のニュース]
▼Root Programs as Products
こちらのツイートから。
Root programs are critical to the web, yet often under-resourced & undervalued. Let’s think of them like products—proactive, transparent, and guided by measurable outcomes. Check out my latest post: https://t.co/9loZ20KYxk
— Ryan Hurst (@rmhrisk) 2024年12月16日
リンク先はこちら。
インターネットに不可欠なルートプログラムを、プロアクティブに、製品として扱ってリスク管理をすることでインターネットの信頼を守っていこう、という話。
CAに対するリスク評価を行なっていこう、ということが書かれている。Ryan Hurst氏が現在支援しているCAのEntrustも、こうした評価に耐えうるレベルに復権する、という意気込みだろうか?
▼WebPKI CAマーケットシェア(2024年12月)
こちらのツイートから。
It's been a while since I published WebPKI CA market share data, and as we approach 2025, now is as good a time as any. Google Trust Services ends the year as the second-largest CA, with GoDaddy and DigiCert in third and fourth place, respectively. The top eight CAs are… pic.twitter.com/KgS3DceDdU
— Ryan Hurst (@rmhrisk) 2024年12月16日
特筆すべき点としては、Google Trust Servicesが今年2位となった、上位8つのCAで99%を占めている、と言ったところ。Let's Encryptが以前は50%を超えていたような気もするけれど、今回は45.49%とやや落ちている。
There are a few reasons, one is that Google will let you get certificates from their CA even if they do not terminate TLS, the other is that the Google Cloud Loadbalancer makes multi-tenancy TLS trivial.
— Ryan Hurst (@rmhrisk) 2024年12月16日
マルチテナントTLSってなんだろう?テナントごとのドメインを発行するようなケースかな。
▼ひとくちPKI 72
こちらのツイートから。
PKIと雑談のポッドキャスト #ひとくちPKI 配信しました!Google[.]comの証明書が無関係のCAから出ていたのがCTの監視で見つかった件の話をしています。各ブラウザには信頼されていないCAだったため大事には至らずでしたが、CTへの依存は高まるな〜などなど。https://t.co/Ak2GOlnwjk
— Hitomi Kimura (@hitok_) 2024年12月16日
リンク先はこちら。
google.comの証明書の件は気になってたので助かる。聞かなきゃ...。
▼Kyber & Dilithium解説
こちらのツイートから。
[Revised] Basic Lattice Cryptography: The concepts behind Kyber (ML-KEM) and Dilithium (ML-DSA) (Vadim Lyubashevsky) https://t.co/uvkhW5L6qD
— IACR ePrint Updates (@Lhree) 2024年12月20日
リンク先はこちら。
格子暗号の基礎を解説してくれている論文。PQCの基礎を理解したい...といいつつ、そもそも暗号の基礎が足りてない。来年はこういう論文をちまちま読み進めてみようかな。
[おわりに]
来週も更新予定です!
