2025年7月7日～2025年7月13日に読んだ中で気になったニュースとメモ書きです。

• [Opossum攻撃]
• [その他のニュース]
  • ▼Instagramの1週間TLS証明書？
  • ▼Let's Encrypt証明書を管理するCertMate
  • ▼ECHドラフトのIESG承認
  • ▼Chromeの強化
  • ▼Extensions to TLS FATT Process
  • ▼Cybozu研修資料：TLS1.3をざっと理解する
  • ▼HTTPSレコードとCloudFront
• [おわりに]

[Opossum攻撃]

こちらのツイートから。

HTTP、FTP、SMTP等のアプリケーション層プロトコルにおける暗黙的TLSと日和見TLSの共存を悪用する、新しい種類の非同期化脆弱性であるOpossum攻撃が発表された。最新のTLS実装も回避し、暗号化された接続の完全性を侵害することが可能。中間者攻撃。 https://t.co/rXDVbpuvle

— kokumօtօ (@__kokumoto) 2025年7月10日

OpportunisticなTLS と implicitなTLS の両方に依存するTLSベースのアプリケーション・プロトコルに影響を与えるオッポサム攻撃というものが公開された。
影響を受けるプロトコルとして、HTTP、FTP、POP3、SMTP、LMTP、NNTP なのね。… pic.twitter.com/6f4YIBb1o6

— 菅野 哲 / Satoru Kanno (@satorukanno) 2025年7月10日

リンク先はこちら。

securityonline.info

opossum-attack.com

攻撃シナリオはほとんど存在せず理論的な攻撃ではあるが、ポート80でHTTPサーバーが稼働しており、TLSへのアップグレード機能を有している場合に、中間者攻撃が成立するという。

RFC 2817をベースにした攻撃とのこと。SMTPとかではSTARTTLSを使って後から暗号化するパターンを見たことがあるけど、HTTPにも同じパターンがあったとは...。

www.rfc-editor.org

この機能はApacheやプリンターフレームワークでサポートされており、脆弱性に該当しうるサーバーが300万台以上あるとされている。

[その他のニュース]

▼Instagramの1週間TLS証明書？

こちらのツイートから。

インスタグラムが有効期限7日のTLS証明書を使用開始。日次で更新。一枚の証明書で、サービスで使用する各ドメインをワイルドカードでSANに登録。 https://t.co/SokaBAyy9B

— kokumօtօ (@__kokumoto) 2025年7月6日

リンク先はこちら。

cybersecuritynews.com

正確には、約8日間の証明書を毎日取得してデプロイしている、という話らしい。

PCでアクセスしたら、普通の90日の証明書だった...。

はて？と思い。crt.shで検索してみても、有効期間90日の証明書を毎日取得しているように見える...もしかして、not beforeをわざと80日くらい前にしている...ってコト？

▼Let's Encrypt証明書を管理するCertMate

こちらのツイートから。

Let's Encrypt発行のSSL証明書を管理できるオープンソース実装。dns-01前提で様々なDNSサービスのAPIに対応。GUIあり。自動更新やAPIも備える。ソースコードはやや汚い印象だが今後のリファクタリングに期待。 / “GitHub - fabriziosalmi/certmate: SSL Certificate Manage…” https://t.co/dLwNjHM8tL

— matsuu (@matsuu) 2025年7月7日

リンク先はこちら。

github.com

www.certmate.org

Let's Encryptの証明書を、Amazon route 53やAzure DNS、Cloudflareなど向けに管理できるツールが公開された。色々な環境をまとめて管理したい場合は便利かも。

▼ECHドラフトのIESG承認

こちらのツイートから。

Protocol Action: 'TLS Encrypted Client Hello' to Proposed Standardhttps://t.co/UFmKd6ve16

— ゆき (@flano_yuki) 2025年7月10日

リンク先はこちら。

mailarchive.ietf.org

あとはRFC Editorによる最終的な編集作業が終われば、RFCとして発行されるはず。

▼Chromeの強化

こちらの記事から。

security.googleblog.com

HTTPS関連の機能強化について触れられている。

2025年1月のChrome 133以降、HSTSヘッダーに類似した機能として、ChromeがHTTPSでアクセスすると知っているサイトについてHTTPへのダウングレードを阻止する機能が搭載されているとか。

▼Extensions to TLS FATT Process

こちらのツイートから。

Extensions to TLS FATT Processhttps://t.co/1aLrKTducg
提案書にFormal Analysis Considerationsセクションを書くようにする提案

— ゆき (@flano_yuki) 2025年7月8日

リンク先はこちら。

www.ietf.org

形式手法などのセキュリティモデリングの結果として得られた、脅威モデルやセキュリティ目標、プロトコル図をインターネットドラフトに盛り込もう、という提案。ドラフトの目指すところが明確になるので良さそう。

▼Cybozu研修資料：TLS1.3をざっと理解する

こちらのツイートから。

Cybozuの研修用のスライドとてもいい。スライドだから要点がまとまってる

例
* Docker入門
* ソフトウェアライセンス
* パフォーマンス・チューニング
* TLS 1.3をざっと理解する
* エンジニアのためのアウトプット講座https://t.co/E6TpzWJAMy pic.twitter.com/6ocU53tg9z

— Yusuke Wada (@yusukebe) 2025年7月9日

リンク先はこちら。

speakerdeck.com

暗認本の著者の光成さんが書いてくれている。

他の資料も良さげ。

tech.cybozu.io

▼HTTPSレコードとCloudFront

こちらのツイートから。

Amazon CloudFrontがHTTPSレコードをサポートした件について解説が翻訳されました。HTTPSレコードはパフォーマンス面で有利なだけでなく、他のレコードタイプ (AやAAAA) よりも詳細な情報を提供します。HTTPSレコードの概要から説明していますので、ぜひご覧ください。 #AWS https://t.co/nePkoikZ8y

— Akira Shimosako (@simosako) 2025年7月11日

リンク先はこちら。

aws.amazon.com

Route 53のエイリアスレコードに対するクエリって無料だったんだ...。

[おわりに]

アルパカはまだ分かるけど、オポッサムって言われてもパッとイメージできない...。