2025年4月7日～2025年4月13日に読んだ中で気になったニュースとメモ書きです。

• [SC-081投票可決]
• [その他のニュース]
  • ▼Q1 2025 Summary from Chrome Security
  • ▼OpenSSL 3.5 w/ML-KEM, ML-DSA, SLH-DSA
  • ▼SSLKEYLOGFILE for TLSドラフト
  • ▼OpenSSH 10.0 Released
• [おわりに]

[SC-081投票可決]

こちらのツイートから。

【自分用メモ】CA/Browser Forumで、398→200→100→47の投票が進行中。
投票期限はApril 11, 2025 19:30 UTCまで。

現在まで反対投票はなく、可決・承認される見込み。

Voting Period Begins: SC-081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods https://t.co/OqgKzIGIjg

— Yasuhiro Morishita (@OrangeMorishita) 2025年4月9日

1年後の2026年3月15日から、最長有効期間の短縮開始。
47日になるのは、4年後の2029年3月15日。
・～2026年3月15日：398日
・2026年3月15日～2027年3月15日：200日
・2027年3月15日～2029年3月15日：100日
・2029年3月15日～：47日 pic.twitter.com/0uT9U891yP

— Yasuhiro Morishita (@OrangeMorishita) 2025年4月9日

CABForum SCWG Ballot SC-081 just passed! WebPKI certificate maximum validity periods will now reduce according to this schedule: pic.twitter.com/zPxsKZId8B

— Ryan Hurst (@rmhrisk) 2025年4月11日

リンク先はこちら。

groups.google.com

Google、Mozilla、Apple、Microsoft、Sectigo、GlobalSign、Fastly、Amazon Trust Services、GoDaddy、SSL.comなどの認証局およびブラウザベンダーなど各団体が賛成票を投じている。一方、JPRS、Entrust、IdenTrust、SECOM Trust Systemsなどは投票を棄権している。反対票はなく、可決された。

最後の調整期間を経て、近いうちにBaseline Requirementsに反映されるはず。色々備えねば...。

[その他のニュース]

▼Q1 2025 Summary from Chrome Security

こちらのツイートから。

『Q1 2025 Summary from Chrome Security』
Chromeのセキュリティトピックまとめたすかる
- 証明書の有効期限短くする動き (SC-081)
- 耐量子暗号
- TLS Trust Anchor Identifiersの提案https://t.co/kHKucNW2dt

— ゆき (@flano_yuki) 2025年4月10日

リンク先はこちら。

groups.google.com

Chromeセキュリティチームがセキュリティエンジニアを募集中らしい。サンフランシスコだけじゃなくてメキシコシティでも仕事があるらしい。

2025年Q1のアップデートとしては、上述のSC-081による証明書有効期間の短縮、CTのタイルログの利用開始、TLS Trust Anchor IdentifiersのBoringSSLでのプロトタイプ実装などが挙げられている。

▼OpenSSL 3.5 w/ML-KEM, ML-DSA, SLH-DSA

こちらのツイートから。

X25519MLKEM768 enabled by default 🥳 https://t.co/c2RE8hicr4

— Bas Westerbaan (@bwesterb) 2025年4月8日

リンク先はこちら。

openssl-library.org

LTS版であるOpenSSL 3.5がリリースされた。2030年4月8日まで5年間サポートされるとのこと。元々のLTSであったOpenSSL 3.0は2025年9月7日までフルサポート、2026年9月7日までセキュリティアップデートが提供される。

PQCアルゴリズムの追加以外にも、サーバーサイドQUICのサポートなどの機能が追加されている。

▼SSLKEYLOGFILE for TLSドラフト

こちらのツイートから。

SSLKEYLOGFILEの仕様がRFCになりそうですね

>Last Call: (The SSLKEYLOGFILE Format for TLS) to Informational RFChttps://t.co/iMvT1eFGEo

— ゆき (@flano_yuki) 2025年4月10日

リンク先はこちら。

mailarchive.ietf.org

datatracker.ietf.org

Last Callは4/23までとのこと。

▼OpenSSH 10.0 Released

こちらのツイートから。

OpenSSH 10.0が公開。弱いDSA署名アルゴリズムの除去、弱いDHをECDHに既定で置き換え。ポスト量子暗号ハイブリッドアルゴリズムのmlkem768x25519-sha256が既定の鍵交換に。認証コードの実行時隔離。 https://t.co/a0BNsXHEU4

— kokumօtօ (@__kokumoto) 2025年4月10日

リンク先はこちら。

gbhackers.com

有限体のDH鍵交換をデフォルトで楕円曲線DH鍵交換に変更したらしい。あとは、mlkem768x25519-sha256のハイブリッド鍵交換もデフォルトになったとのこと。あとはAES-GCMがAES-CTRより優先されるようになったらしい（最優先はChaCha20-Poly1305で変わらず、とのこと）。

[おわりに]

そういえば技術書典の準備がまずい...。