2025年1月27日～2025年2月2日に読んだ中で気になったニュースとメモ書きです。

• [EntrustのCA事業売却]
• [Cryptography & Security Newsletter #121]
• [その他のニュース]
  • ▼Let's Encryptのレート制限拡張
  • ▼bousai.mext.go.jp証明書のrevoke
  • ▼OpenSSLの耐量子暗号対応
  • ▼CloudflareプロキシでのTLS1.2暗号スイート制限
• [おわりに]

[EntrustのCA事業売却]

こちらのツイートから。

老舗の商用CAである Entrust 、パブリックCAの事業を Sectigo に売却するとのこと　👀
今後は量子対応の暗号化データセキュリティソリューションに注力https://t.co/1D9znGPdL5

— Yurika (@EurekaBerry) 2025年1月30日

Entrust は、ここ数年内に多数のCA発行業務における業界ポリシーへの違反などが指摘され、かつ、それらへの対応が不十分であることから信頼性が低下し、各ブラウザ・OSの信頼できるルートCAのリストから外されていましたhttps://t.co/En8UAXgRXY

— Yurika (@EurekaBerry) 2025年1月30日

Sectigoは、もともと Comodo として知られていたCA事業者。現在は発行証明書数も多いメジャーなCA局。
Comodo時代の2011年、パートナー企業のシステムが侵害されgoogleなど大手Webサイト用の不正な証明書を発行されるというインシデントが発生した。

— Yurika (@EurekaBerry) 2025年1月30日

その後、Sectigoにリブランドし現在に至る。インシデントから再生したという意味ではEntrust再建にぴったり?

なお、2011年と言えばDigiNotarというCA局も侵害されGoogleなどの大手ウェブサイトの証明書が発行された事件も発生。このような事件をうけて、CTログが考案された。

— Yurika (@EurekaBerry) 2025年1月30日

SectigoのNick France氏の投稿によると、2017～2018年のSymantec→DigiCertの事例とは異なり、SectigoはEntrustの顧客と顧客契約のみを引き継ぎ、同社のシステム・インフラ・スタッフの引き継ぎ・移管はしないとのこと。https://t.co/Dx1DAFfJqr

— Yasuhiro Morishita (@OrangeMorishita) 2025年1月30日

リンク先はこちら。

www.entrust.com

「暗号化データセキュリティソリューションの開発に注力し、証明書の提供をSectigoにスムーズに移行します！」と言っている。ポジティブ...。

まあそういうことですよね...。

「お前の事業もうだめなんだろ？俺様が買ってやるぜ」
「買うのはお前の客と、客との契約だけだからな」
「お前のボロいシステム・インフラ・スタッフには用はない」#実在の会社とは関係ありません

— Yasuhiro Morishita (@OrangeMorishita) 2025年1月30日

[Cryptography & Security Newsletter #121]

こちらのツイートから。

Cryptography & Security Newsletter 121 is out! In this issue, we published a detailed analysis of the slow death of OCSP.https://t.co/nzzVeQhbRQ pic.twitter.com/FVFhXSDT1c

— Feisty Duck (@feistyduck) 2025年1月30日

リンク先はこちら。

www.feistyduck.com

25年かけてうまくいかなかったOCSPのゆるやかな死...。そして新しく登場するLet's Encryptの6日間の証明書（CRLなし）。

そういえばMicrosoftのルートプログラムがOCSPを要求しなくなったのが直接的にLet's EncryptのOCSP廃止宣言に繋がっているわけで。でもOCSPかCRLによる失効確認って必須じゃなかったっけ？と思いきや、2023年7月のBallot SC-063で、10日間を超えない短期証明書はCRLやOCSPが不要でそもそも失効が不要との規定になっていたらしい。なるほど。

cabforum.org

ニュースレター本文ではOCSPの問題点がまとめられている。OCSPはリアルタイムではない、リプレイ攻撃に脆弱、プライバシーの懸念、ChromeやSafariのMust-Staple非対応...などなど。

そういえばショートニュース無くなったの寂しい...。

[その他のニュース]

▼Let's Encryptのレート制限拡張

こちらの記事から。

letsencrypt.org

現在1時間に34万通の証明書を発行し、5億件以上のサイトを保護しているというLet's Encrypt。これが無料というのが凄まじい...。

Redisを活用して10億件に耐えられるようにスケーラブルにした、とあるが常勤のエンジニアは3名しかいないとのこと。これもすごい...。

6日間の短期証明書が発行されるようになると、またすごい負荷がかかりそう...どうなるんだろう。

▼bousai.mext.go.jp証明書のrevoke

こちらのツイートから。

bousai\.mext.go.jp の証明書はすべて revoke されていました。 https://t.co/5OjXkgQDIC pic.twitter.com/DpxUOvGDpW

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2025年1月31日

go.jpドメインに関する一連のDNS設定不備の続報。失効しているならとりあえずは安心か...。

▼OpenSSLの耐量子暗号対応

こちらのツイートから。

OpenSSLは耐量子暗号（Post-Quantum Cryptography, PQC）に完全対応していないのか。liboqs で PQCを利用可能とのことだけど。
2025年から移行スケジュールが出ているけど、ベンダー先行ですかね。

— Takamichi Saito, 齋藤孝道 (@saitolab_org) 2025年1月26日

確かに2024年9月に、そのような内容のブログ記事が出ていた。

openssl-foundation.org

そしてGitHubを見ると、ちょうどハイブリッド鍵交換をデフォルトで有効化しようと動いている様子。マイルストーンとしては3.5.0でのリリース予定だろうか。

github.com

▼CloudflareプロキシでのTLS1.2暗号スイート制限

こちらのツイートから。

たまにこういった要件あります

CloudFlareのプロキシを利用してFirebaseHostingしたサービスのTLS1.2暗号スイートを制限する｜TomoakiTANAKA https://t.co/Pih48IncHR #zenn

— kyhayama (@kyhayama) 2025年1月30日

リンク先はこちら。

zenn.dev

Cloudflareの独特な暗号スイート表現が気になる...AEAD-AES128-GCM-SHA256とか見たことないな。AEADってGCMのことなのになんで繰り返してるんだろう...。

developers.cloudflare.com

[おわりに]

次の技術書典の準備は予定よりちょっと遅れ気味だけどとりあえず申し込んだ。

技術書典18にサークル「kdnakt」として参加申込をしました！ #技術書典 https://t.co/fHfdTesKsu

— KIDANI Akito (@kdnakt) 2025年2月1日