2025年4月21日~2025年4月27日に読んだ中で気になったニュースとメモ書きです。
[SSL.comの証明書不正発行インシデント]
こちらのツイートから。
CAであるSSL.comがバグハンターによりAlibaba Cloud向けの証明書を不正発行させられた。ドメイン検証の不備。検証対象ドメインにTXTレコードでメールアドレスを設定することでそのアドレスで検証が可能なところ、メールアドレスの@以降のドメインに対しても検証が成立。 https://t.co/DTUZN9oHO8
— kokumօtօ (@__kokumoto) 2025年4月22日
リンク先はこちら。
これは恐ろしい...Gmailのアドレスだったらgmail.comの証明書をとれてしまうということか。影響があった証明書は11件で、すでに失効済みとのこと(そのうち1件がバグハンターの見つけたalibabaのもの)。
ドメイン所有権の検証方法として明らかに間違っているということと、SSL.com自身のCPS(Certification Practice Statement、認証運用規定)に違反してしまっている点が問題。
ドメイン検証の不備といえば、最近だとWHOISを悪用したものとか、BGPハイジャックとかがあったけど、TXTレコードがこんな形で利用されるとは...。
該当のドメイン検証手法は現在無効化済みとのこと。
また、Bugzillaのチケットを確認したところ、TXTレコードではなくCAAレコードのcontactemailの値をドメイン検証に利用するパターンについても問題ないか?と指摘がされている。こちらについては、TXTレコードと違い自動化されていないため、バグの影響はないとのこと。
ドメイン検証難しい...。
[その他のニュース]
▼CAA+DNSSEC検証の必須化提案
こちらのツイートから。
【自分用メモ】認証局のCAAとドメイン名権限確認の問い合わせでのDNSSEC検証を必須にする提案。現時点では準備中。
— Yasuhiro Morishita (@OrangeMorishita) 2025年4月25日
SC-085: Require DNSSEC for CAA and DCV Lookups by birgelee · Pull Request #579 · cabforum/servercert · GitHub https://t.co/ZBY569FyFG
リンク先はこちら。
2025年11月15日以降、ドメイン所有権の確認に利用されるDNSクエリは全てDNSSECの検証を必須化するという提案。MPICの観点から、プライマリなネットワークパースペクティブからのみDNSSEC検証が必須となるとのこと。
あれ、これ地味に証明書有効期限を短縮するSC-081よりも影響あるのでは...?
▼Certbot 4.0.0の証明書更新
こちらのツイートから。
「2025年4月7日にリリースされたCertbot 4.0.0以降は証明書の有効期限が3分の1未満になった時点で更新。前のバージョンでは有効期限のしきい値は30日に固定」なるほど。将来の短縮を想定した動作だ。アップデートしましょう / “Oracle CloudでLet’s EncryptからTLSサーバー…” https://t.co/NkOM5tzAL1
— matsuu (@matsuu) 2025年4月26日
リンク先はこちら。
SC-081の影響で2029年3月から証明書の有効期限が47日となる。加えて、今年中には、Let's Encryptが有効期限6日間の証明書を一般提供予定である。そうした場合に30日前固定だと流石にまずい、ということか。
▼ChromeのIP秘匿機能
こちらのツイートから。
[GoogleChrome/ip-protection] https://t.co/hV7kuJv7iC
— ゆき (@flano_yuki) 2025年4月22日
Chromeに搭載されてるIP秘匿機能。結構前からあったんだけど、Expainerがアップデートされてるな。呼んでおきたい
リンク先はこちら。
シークレットモードでブラウジングしている場合に、サードパーティがIPアドレスを利用できないように、Googleのプロキシと外部CDNのプロキシを間に挟むオプションがあるらしい。2025年7月以降にAndroidとデスクトップのChromeで利用可能になる予定とのこと。iOSは...。
QUICトンネルを経由してその上にHTTPS接続を確立するとか。またプロトコル同士の関係が難しい...。
[おわりに]
ドメイン検証周りが急に盛り上がってきた感。
さてGWだ...!(仕事です)
