2025年4月28日~2025年5月3日に読んだ中で気になったニュースとメモ書きです。
[Cryptography & Security Newsletter #124]
こちらのツイートから。
Cryptography & Security Newsletter is out! In this issue:
— Feisty Duck (@feistyduck) 2025年4月30日
- Certificate Lifetimes to Shrink to Just Forty-Seven Days
- Other Newshttps://t.co/72pbc07dMS pic.twitter.com/Hlzsss5S8R
リンク先はこちら。
トップニュースは証明書有効期間短縮の件。
ACMEで自動更新できるWebサーバは意外と少なく、Caddyくらいらしい。
社内インフラも注意が必要で、パブリックCAからプライベートCAに切り替えるケースもありうるとのこと。
ショートニュースはこちら。
- certbot4.0とCaddy 2.10.0でLet's Encryptの6日間の証明書に備えたリリースがあった
- PQCrypto 2025の招待公演のスライド公開(PQインターネットの現状、NISTのPQC標準化、RSA2048を破るのはいつか)
- Cloudflareの次世代CTログAzul
- DigiCertのCTログトラブルによるSphinx2025h1、Wybern2025h1、Nessie2025各サーバの停止
- AppleのCTログポリシーの更新(static-ct-api対応)
[その他のニュース]
▼pqscan.io
こちらのツイートから。
Cool: pqscan[.]io allows you to check whether your website supports post-quantum key agreement. (Examples in thread.)
— Bas Westerbaan (@bwesterb) 2025年4月29日
Cloudflare does obviously. https://t.co/evnWEW51AK
— Bas Westerbaan (@bwesterb) 2025年4月29日
Google as well—no surprise! https://t.co/EaZ1Bz000y
— Bas Westerbaan (@bwesterb) 2025年4月29日
What's in a name? https://t.co/7l48HIkWRi ❌ https://t.co/x9qbius0tY ❌
— Bas Westerbaan (@bwesterb) 2025年4月29日
リンク先はこちら。
スキャン対象になるのは鍵交換アルゴリズムだけで、証明書がPQCかどうかはチェックしてなさそう。
大体のサイトがx25519_kyber768_draft00での鍵交換をサポートしている。
ところどころ、secp256r1がPQCアルゴリズムとして表示されてるところがあるけれど、これって普通の楕円曲線暗号でPQCじゃないんじゃなかったっけ...?
▼CloudFrontの証明書自動更新
こちらのツイートから。
Amazon CloudFront による自動 HTTP 検証済みパブリック証明書。
— What's New on AWS (非公式) (@awswhatsnew_jp) 2025年4月28日
AWS 証明書マネージャー (ACM) が Amazon CloudFront の自動パブリック TLS 証明書を発表しました。CloudFront のお客様は、新しい CloudFront コンテンツ配信アプリケーションを作成するときに、チェックボックスをオンにするだけで…
リンク先はこちら。
元々はACMでドメイン検証して発行した証明書を関連づける必要があったが、その部分が自動化されたとのこと。
うちはワイルドカード証明書でやってるからあんまり関係ないかな...。
[おわりに]
プロフェッショナルTLS&PKI 改題第2版でも取り上げられてたけど、TLSの各種パラメータもよりよいパフォーマンスのためにちゃんと検証した方がいいんだろうな...と思いつつできてない。
全然予想通りというか、世の中のあらゆるシステムはIPv6側の負荷試験とか追加でやってないでしょって思ってる。
— beepcap (@beepcap) 2025年5月1日
(HTTP, HTTP2, HTTP3(QUIC)を全部テストしてるかみたいな話と似たような何かを感じる) https://t.co/SIu1pRwAvF
