2026年2月2日~2026年2月8日に読んだ中で気になったニュースとメモ書きです。
[MLS Handshake in TLS 1.3]
こちらのツイートから。
『Using the MLS Handshake in TLS 1.3』https://t.co/1GtC5ibKu1
— ゆき (@flano_yuki) 2026年2月6日
> エポック間の前方秘匿性は、MLSラチェットツリーの過去のバージョンから秘密鍵を削除することで実現されます。これにより、古いセッションシークレットが再導出されるのを防ぎます。#yuki_id
リンク先はこちら。
MLSはメッセージアプリのEnd to end暗号化のためのプロトコル。クライアントがやりとりに参加する際に、KeyPackageオブジェクトが送られ、それをグループの参加者にWelcomeメッセージで伝達する。
ClientHelloのtls_using_mls_handshakeという新しいTLS拡張にKeyPackageオブジェクトを、ServerHelloにWelcomeメッセージを埋め込む形でMLSを実現するとのこと。
MLSほとんど知らないから、ちゃんと追いかけないと...。
[その他のニュース]
▼Chrome Root Program Policy v1.8
こちらのツイートから。
『Chrome Root Program Policy, Version 1.8』
— ゆき (@flano_yuki) 2026年2月6日
がリリースされた!https://t.co/UIRXfjHSOh
リンク先はこちら。
1ヶ月前にプルリクが出ていたやつ。
変更履歴によると、中間証明書の有効期限を3年とすることを推奨、2027年3月以降全CAへの証明書更新自動化サポート要求、2027年9月以降Chromeルートストアに含まれる認証局ごとのルート証明書数を2つに制限、2026年6月以降CAのポリシー文書への本ポリシーへの準拠明記、といった変更がされたらしい。
▼Mozilla CA Wiki:非開示中間証明書の削除
こちらのメーリスの投稿から。
Mozilla CA Wikiがアップデートされ、中間証明書を非開示にすることができなくなった。実運用上は、MozillaのルートプログラムはCCADBポリシーへの準拠を認証局に求めており、CCADBでは中間証明書の非開示を認めていないので、問題ないということらしい。
元々がどういう用途だったのかは気になる...。単にプライベートな、実験用の中間証明書ってこと?
Wikiの差分はこちら。
https://wiki.mozilla.org/index.php?title=CA/Subordinate_CA_Checklist&diff=1256370&oldid=1256352
▼AndroidアプリのMitM脆弱性検出ツールOkara
こちらのツイートから。
Okara: Detection and Attribution of TLS Man-in-the-Middle Vulnerabilities in Android Apps with Foundation Models
— Cryptography and Security Papers (@FSFG) 2026年2月2日
Haoyun Yang, Ronghong Huang, Yong Fang, Beizeng Zhang, Junpu Guo, Zhanyu Wu, Xianghang Mihttps://t.co/5GkeNKGXBY [𝚌𝚜.𝙲𝚁] pic.twitter.com/oxgO057YZI
リンク先はこちら。
AndroidアプリのMitM脆弱性検出ツールOkaraは、LLMを利用して脆弱なコードを分類してくれるらしい。先週のOpenSSLの件もそうだけど、AIによる脆弱性検出が当たり前になりつつある...つらい。
▼CloudFrontのオリジンmTLSサポート
こちらのツイートから。
Amazon CloudFront がオリジンの相談 TLS サポートを発表。
— What's New on AWS (非公式) (@awswhatsnew_jp) 2026年2月2日
Amazon CloudFront は、オリジンの相対 TLS 認証 (mTLS) のサポートを発表しました。これは、お客様がオリジンサーバーへのリクエストが TLS 証明書を使用して承認された CloudFront…
リンク先はこちら。
CloudFrontとオリジンサーバーの間の認証が便利になりそう。
▼AWS Network Firewall値下げ:TLSインスペクション無償化
こちらのツイートから。
AWS ネットワークファイアウォールが新たな値下げを発表。
— What's New on AWS (非公式) (@awswhatsnew_jp) 2026年2月6日
AWS ネットワークファイアウォールは、お客様向けに 2 つの価格改善を導入しました。このサービスでは、ネットワークファイアウォールのセカンダリエンドポイントとサービスチェーン接続されている NAT…
リンク先はこちら。
これまで有料オプションだったTLSインスペクションが無料で利用できるようになったとのこと。
▼Go 1.25.7:ctypro/tls (CVE-2025-68121)
こちらのツイートから。
🎉 Go 1.25.7 and 1.24.13 are released!
— Go (@golang) 2026年2月4日
🔐 Security: Includes a security fix for cmd/cgo (CVE-2025-61732) and an update for crypto/tls (CVE-2025-68121).
🗣 Announcement: https://t.co/gn4BwmFBh4
📦 Download: https://t.co/cZRQix5aeM#golang pic.twitter.com/NnF8ayxKrK
リンク先はこちら。
セッションリザンプション(再開)の実装の問題で、初回接続時とConfigオブジェクトのルートトラストストアが変わっている場合に証明書チェーンが検証されず、認証がスキップされてしまう問題があったとのこと。
▼Nginx:CVE-2026-1642
こちらのツイートから。
NGINX vulnerability CVE-2026-1642 https://t.co/9ki7rUkhZW
— Frank (@jedisct1) 2026年2月4日
リンク先はこちら。
上流のサーバーにTLSで接続する場合に中間者攻撃が可能な脆弱性があったとのこと。
[おわりに]
🚚
これは今日みかけて、つい写真を撮ってしまった mTLS pic.twitter.com/A99Q7g77wp
— ゆき (@flano_yuki) 2026年2月5日
