2025年6月2日~2025年6月8日に読んだ中で気になったニュースとメモ書きです。
[中華電信とNETLOCKのその後]
こちらのツイートから。
原因これだろうな…
— oniyan (@oniyaann) 2025年6月3日
両方とも色々な遅延と知識不足、是正措置の欠如https://t.co/WzGADgc2iwhttps://t.co/V7rY7sGTwR https://t.co/b6295JjUxy
【自分用メモ】Google Online Security Blog: Sustaining Digital Certificate Security - Upcoming Changes to the Chrome Root Storehttps://t.co/LPMGOmymfw
— Yasuhiro Morishita (@OrangeMorishita) 2025年6月2日
リンク先はこちら。
中国(というか台湾)の中華電信認証局(Chunghwa Telecom)と、ハンガリーのNetLock認証局について、2025年8月以降に両社から発行された証明書をGoogle Chromeは信頼しないことを発表した。
それぞれ2024年6月に、不正な証明書発行に伴う失効の遅延のインシデント、ルートストアポリシーの不遵守のインシデントを起こし暫定的な対応を行なったものの、その後の進捗報告や対応が十分でないため、もはや信頼に値しない、ということらしい。
中華電信についてはTLS季報 vol.3で取り上げた際、「遅れてはいるものの失効していないEntrustよりマシなはず」ということを書いたが、最終的には中華電信もEntrustもどちらもDistrustされる結果に。
中国語のサイトによると、過去3年にわたりCAとしての年次レポートの提出が滞っていること、社内プロセスの不備、認証局として守るべき要件への理解不足、も今回のdistrustの原因として指摘されている。
【自分用メモ】中華電信のdistrustから現在までのまとめ(中国語)。
— Yasuhiro Morishita (@OrangeMorishita) 2025年6月5日
Google翻訳で眺めましたが、よく書かれていると思いました。
中華電信不配被信任?一文解析「Google撤銷憑證」關鍵點:背後隱藏3大管理缺失|數位時代 BusinessNext https://t.co/Wk063VSHDT
中華電信の方は、事前に台湾政府が対策済みなので影響は少ないらしい。
【自分用メモ】台湾政府が何か対応する模様(私はまだ中身を読んでいない)。
— Yasuhiro Morishita (@OrangeMorishita) 2025年6月5日
數發部:因應 Google Chrome 信任政策調整 政府超前部署網站雙憑證機制|新聞發布 - 公告訊息|moda — 數位發展部 Ministry of Digital Affairs https://t.co/odXPTBdYKw
2024年8月にリリースされたGoogle Chromeから、コマンドラインフラグが追加されていて、ルート証明書のdistrustを事前に動作確認できるとのこと。年に数件同様の事例が発生しているので、確かに必要かも。
--test-crs-constraints=$[Comma Separated List of Trust Anchor Certificate SHA256 Hashes]:sctnotafter=$[epoch_timestamp]
[その他のニュース]
▼Mozilla Web PKI Roundtable
こちらのツイートから。
Mozilla recently hosted a roundtable with CAs and ecosystem stakeholders to discuss improving Web PKI practices.
— Ryan Hurst (@rmhrisk) 2025年6月5日
One surprising takeaway? Some participants argued for less accountability when a CA’s documented promises don’t match what they actually do.
That’s the wrong…
This is why I wrote about why policy documents like CPs and CPSs matter, and why patching them after the fact isn’t harmless.https://t.co/6er8rG79dF
— Ryan Hurst (@rmhrisk) 2025年6月5日
リンク先はこちら。
Mozillaと認証局の間で開催されたラウンドテーブルで、CPS(Certification Practice Statement)を軽視する発言があったが、CPSはエコシステムへの宣言として重要だよ、というお話。GoogleとFastlyのCPSが良い例として取り上げられている。Fastlyの認証局Certainly、そういえば存在を忘れていた...orz
反対に、悪い例として、MicrosoftのCPSのバグが取り上げられている。
CPSがルートトラストストアのポリシーに完全に対応できていない、という問題も指摘されている。まだまだ全体が掴めないので、具体的にどういうポイントがあるかはわからず...。
CPSについてはTLS季報 vol.3で、ルートトラストストアについてはTLS季報 vol.4で解説しているので是非🙏
ラウンドテーブルの話はこの辺に情報がある。2025年5月16日にZoomで開催され、40人以上が参加した模様。CPS、自動化、インシデント対応から、クロス署名証明書の増加など、話題は多岐に渡った。
▼CRYPTRECシンポジウム2025開催予定
こちらのツイートから。
「CRYPTRECシンポジウム2025」の開催
— 松本 泰 (@yas_matsu) 2025年6月5日
開催日時:2025年7月25日 (金) 13:00〜16:40https://t.co/EzXzC3NA9Ihttps://t.co/MM1QVmKRf1
リンク先はこちら。
耐量子暗号と、暗号鍵管理がメイントピックっぽい。
▼TLS 1.3 Vibe Coding
こちらのツイートから。
書きました "Vibe CodingでTLS 1.3を実装してみたら、思ったより人間が必要だった話" https://t.co/i0rjSW5Tf9 #zenn
— 専門性・売上・原稿 (@golden_lucky) 2025年6月8日
リンク先はこちら。
鍵スケジュールの実装、まだAIでも難しいんだな。正直、あのあたりは色々読んだけどまだ理解できた気がしない...。
▼Wireshark Certified Analyst (WCA-101)開始
こちらのツイートから。
Wireshark公式の認定資格Wireshark Certified Analyst (WCA-101)をWireshark Foundationが提供開始。Wireshark作者のGerald Combs氏も設計に加わっている。CCNA等のエントリ向け資格認定より上位を意図。Wiresharkの実務スキルとプロトコルの基礎知識の双方を問う。 https://t.co/w4AriDWiL1 pic.twitter.com/jMTRntsR6Z
— kokumօtօ (@__kokumoto) 2025年6月4日
[おわりに]
技術書典18、まだまだオンライン開催中です、よろしくお願いします!
遅くなりましたがようやく公開できました🙏
— KIDANI Akito (@kdnakt) 2025年6月3日
TLS季報 vol.4:kdnakt https://t.co/ffeEU70L3x
癖にしていかなきゃ...!
癖になっちまってんだ、見てるサイトの証明書確認しちゃうの
— ゆき (@flano_yuki) 2025年6月3日
