2024年12月23日～2024年12月29日に読んだ中で気になったニュースとメモ書きです。

• [放置される.go.jpドメイン]
• [その他のニュース]
  • ▼SSL-VPN vs IPsec-VPN
  • ▼Expanding what HTTPS means
  • ▼PHPで実装するTLS@PHPカンファレンス2024
  • ▼Re-Opening donation to OpenSSL
• [おわりに]

[放置される.go.jpドメイン]

こちらのツイートから。

私が取得しておきました :-) https://t.co/D0Ffbef81O https://t.co/FahUf2Mu7R pic.twitter.com/6WX2LMjcIL

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2024年12月24日

総務省ドメインの証明書を取れちゃったらしい。CNAMEが指してるさくらインターネットのドメインを取得することで成立する攻撃とのこと。

厚生労働省も似たような感じっぽい...。

追記: 厚生労働省のドメイン名も保護しました。https://t.co/TkeYDqSqn4

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2024年12月23日

せっかくなのでスクショを撮っといた。要するにgo\.jpドメイン名が放置されてだれでも使える状態になっていた。TLSの🔒マークも付けられる https://t.co/m3zKGFDDyc pic.twitter.com/KsA1DIAjwn

— Haruhiko Okumura (@h_okumura) 2024年12月24日

やっと消えましたね。> 厚労省

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2024年12月26日

他にもたくさんあるとのこと...。

今年は 6 つの GO .JP を保護したところまでで締めたいと思います。乗っ取り可能そうな NS や CNAME はまだいくつもあります。サービスの制約で保護されているものはさらにたくさん。これらの検証はまた来年。

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2024年12月29日

今月上旬には国土交通省の事例もあった模様。こちらもDNSがらみ。

@MLIT_JAPAN 国土交通省はなかったことにするつもりっぽいし、修正済みだから暴露しちゃえ
ということで、先月まで、国交省https://t.co/I64bYAlW8K下のDNSの一部ゾーンが第三者に乗っ取られてました。
DNS素人なので間違ってるかもですが、Route53のlame delegationです

— random (@randomp23189307) 2024年12月6日

使われなくなったゾーンの委任消し忘れですね
JPCERT/CC経由で報告し、現在は修正済みです
こちらから当時のDNSの様子が見れますhttps://t.co/ixXF9xVgeq

— random (@randomp23189307) 2024年12月6日

Let's Encryptで不正なワイルドカード証明書まで発行されちゃってます
これはhttps://t.co/fptzWm77Vwで確認できます

— random (@randomp23189307) 2024年12月6日

政府機関が所有する.go.jpドメインの管理が惨憺たる有様（とはいえうちの会社は大丈夫かしら...？）。

発見からすぐに報告・修正が行われているものの、悪意のある人間が発見して報告しなかった場合にはかなり問題になりそうな気がする。その割には、特にニュースになっている気配がないようなのはなぜ？現実世界で何の関係もない団体が「厚生労働省」とか看板掲げたら大問題になりそうなものなのに...。

[その他のニュース]

▼SSL-VPN vs IPsec-VPN

こちらのツイートから。

先日UTMを設定した学生諸氏から「最近はSSL-VPNよりIpsec-VPN推しのよう（設定も無くなる可能性）」との話を聞いて、本当かよと思ったけど、こちらを読んで少し納得。TLSの脆弱性のあたりもポイント。NSA/CISAもIpsec推奨のことhttps://t.co/goQ0xF0y6O

— Takamichi Saito, 齋藤孝道 (@saitolab_org) 2024年12月26日

リンク先はこちら。

www.thegreenbow.com

IPsec VPNの方が、SSL VPNよりも安全、とフランスのANSSI（全国情報処理システム・セキュリティ庁）やアメリカのNSA（国家安全保障局）が推奨しているとのこと。理由として、IPsecの処理がOSのカーネル空間で行われるのに対し、SSLの処理はユーザー空間で行われること、初期選択アルゴリズムがIPsecでよりセキュアであること、SSLの方がより広い認証局を受け入れてしまっていること、などが挙げられている。なるほどなあ。

▼Expanding what HTTPS means

こちらのツイートから。

『Expanding what HTTPS means』
Martin Thomsonせんせいの記事。IETFでIoTデバイスなどlocalネットワークでのHTTPS利用の議論に向けてhttps://t.co/KArgG6DcsA

— ゆき (@flano_yuki) 2024年12月28日

リンク先はこちら。

lowentropy.net

ローカルネットワークでプリンターなどに（グローバルに）一意な名前をつけてTLS証明書を発行するのは色々と障害があるので、公開鍵を紐づける方法をSSHのTOFU（Trust On First Use）みたいなのに変えよう、という話。後半よくわからなかったけど...。

ローカルネットワークでDNSを実現するmDNS（Multicast DNS）という仕組みもあるらしい。mTLSのmとは違うんだな。

▼PHPで実装するTLS@PHPカンファレンス2024

こちらのツイートから。

#phpcon PHPカンファレンス2024で登壇した内容と感想を書きました。PHPでTLSプロトコルを実装する話のスライドと動画を記事に入れています。感想あればXのリプライでもらえると非常に喜びます。https://t.co/6VV5ciWR1T

— cakephper ichikawa (@cakephper) 2024年12月23日

リンク先はこちら。

blog.ichikaway.com

ServerHello受け取ったあとがめちゃくちゃ難しいの分かる...自分の実装もそこで止まっちゃってるの再開しないとな。

▼Re-Opening donation to OpenSSL

こちらのツイートから。

OpenSSL Foundation、2024年3月に一時停止していた寄付受付を再開。GitHub Sponsorsで。皆様。Monthlyとone-timeが選べます。 / “Re-opening donation opportunities to OpenSSL Foundation” https://t.co/h7ALvLtnF8

— matsuu (@matsuu) 2024年12月23日

リンク先はこちら。

openssl-library.org

せっかくなので少額ですが貢献してみました。

[おわりに]

今週のネタ枠。

女性客「あの」
アパレル店員「どうしました？」
女性客「この服のサイズ、『S』と『L』はわかるんですが」
アパレル店員「はい」
女性客「『SSL』って何ですか？」
アパレル店員「あ、そちらはSecure Sockets Layerです」
女性客「Secure Sockets Layer」

— 麹 (@oryzae1824) 2024年12月25日

続きのツイートもなかなか面白かったのでぜひ。