2026年4月6日~2026年4月12日に読んだ中で気になったニュースとメモ書きです。
[OpenSSL4.0でSSLv3削除]
こちらの記事から。
2014年のPOODLE攻撃を受けて2015年のRFC 7568でSSLv3が非推奨となって10年以上が経ち、2026年4月にリリースされるOpenSSL 4.0で、SSLv3のコードが削除されるとのこと。
「OpenSSL」なのに……次期バージョン「OpenSSL 4.0」で「SSL 3.0」対応が完全削除/実装から27年、「SSL」のコードベースがなくなる https://t.co/hUf57ii1LF pic.twitter.com/9i9eEGmssk
— 窓の杜 (@madonomori) 2026年4月8日
ラーメン(麺無し)みたいになっとるがな https://t.co/uf4pp9Ntaj
— 吉川拓真 (@Y_hozihozinext) 2026年4月9日
RFC 7568については過去にこんなやり取りもあったみたい。
『Rename OpenSSL to OpenTLS To Comply with RFC7568』https://t.co/O443bwK25f
— ゆき (@flano_yuki) 2026年4月9日
OpenSSLをOpenTLSに変える話し、定期的に出ては閉じられてる
パッケージ名の問題もあるので、難しい...。
https://t.co/a0USgpugJf
— いもいもくん (@ma_anago) 2026年4月9日
ここらは名前変えるとハッカーが旧名称のパッケージ名を占領してマルウェア混入バージョン展開してくるので永遠にこのままでお願いしたい
[その他のニュース]
▼Cloudflareも2029年PQC目標
こちらのツイートから。
I have been working on PQC for a decade now, and always thought of and planned for a 2035+ Q-day. Changing deadlines is rough: but that is what you gotta do when things change. https://t.co/xQnJvKI43v
— Bas Westerbaan (@bwesterb) 2026年4月7日
リンク先はこちら。
先々週のGoogleに続き、Cloudflareも2029年中の対応を目指すと宣言した。2026年中にML-DSAのサポート、2027年にMerkle Tree証明書のサポートが予定されているとのこと。
知らなかったけど、PQ HSTSというHTTPレベルでダウングレード攻撃を防ぐ仕組み(Require-Post-Quantumヘッダーを利用)も予定されているらしい。
同じようたタイミングで、こういった論文も出ている。楕円曲線を破るのにはまだまだコストはかかりそうだが...。
https://t.co/6SH3X4jTIZ estimates 2^29 qubits running 1/3 hour to break an ECC key. https://t.co/N0ER3RhUfd estimates 6 watts per qubit. 2^30 watt-hours costs about 0.1 million USD in electricity + cost of building hardware. More analysis can change numbers in either direction.
— Daniel J. Bernstein (@hashbreaker) 2026年4月10日
I took the 2026 numbers but managed to botch the copying: my 29 should have been 19! Yes, this cascades into the watt-hour calculation. Thanks for the correction; I'll issue a revised calculation momentarily.
— Daniel J. Bernstein (@hashbreaker) 2026年4月11日
▼TP-Link製ルーターへのDNSハイジャック攻撃
こちらのツイートから。
【自分用メモ】ロシアのサイバー攻撃グループ「APT28」が、古いルーターの脆弱性を悪用したDNSハイジャック攻撃。米英機関が情報公開 - INTERNET Watch https://t.co/GuCwgGeqH1
— Yasuhiro Morishita (@OrangeMorishita) 2026年4月10日
ここにもつないでおこう。https://t.co/KfaDcnNX94
— Yasuhiro Morishita (@OrangeMorishita) 2026年4月10日
TLSを検証しない実装が刺されたのかと思ったが、ユーザが自ら攻撃を許可しただけじゃないか……。
— しばにゃん (@shibanyan_1) 2026年4月8日
公式の案内も、パスキーとMFAが同列に語られていてズレてる
SOHO router compromise leads to DNS hijacking and adversary-in-the-middle attacks | Microsoft Security Bloghttps://t.co/RrwSGW0I99 https://t.co/MtGnKPPPC8
リンク先はこちら。
警告出してもやはりユーザーに無視されがち、というのはプロフェッショナルTLS&PKI 改題第2版でも指摘されている。難しい...。
▼OpenSSLの脆弱性(CVE-2026-31790など)
こちらのツイートから。
暗号ライブラリOpenSSLに複数の脆弱性が見つかり、未初期化メモリの漏えいにつながる問題が修正された。特にRSA処理の不備により、攻撃者に機密データが渡る可能性があり、広範なシステムへの影響が懸念されている。早急な更新が求められる。…
— yousukezan (@yousukezan) 2026年4月8日
リンク先はこちら。
OpenSSL 3.0以降限定かつRSA KEM関連ということなので、TLS1.3でRSA証明書を使っているようなパターンでは問題はなさそう。
▼SSL.comのMPIC不具合による大量失効インシデント
こちらのチケットから。
MPICがうまく動作せず、複数拠点からの検証を行わずに証明書発行を行なってしまったため、約170万件の証明書を24時間以内に失効させたとのこと。スピーディ...。
▼RFC 9941: NTRUハイブリッドSSH
こちらのツイートから。
SSHでPQC ハイブリッド構成に関するRFCが発行されました〜 https://t.co/pBZwL7BN2z
— 菅野 哲 / Satoru Kanno (@satorukanno) 2026年4月12日
リンク先はこちら。
RFC 9941でSSHのハイブリッド鍵交換仕様が定義された。TLSのML-KEMではなく、NTRUを採用している模様。
ML-KEMバージョンはまだドラフトっぽい。
[おわりに]
技術書典20、なんとか審査出しました(日曜夜)。次回こそは...
先週のブログでは人力で書いています、と書いたものの技術書典の開催期間内に間に合わなそうだったので、TLS季報 vol.6の執筆はClaudeに頑張ってもらいました。もちろん大幅にリライトしましたが...。
このブログの文章は引き続きフル人力で書いてます!(リンク先の翻訳や要約を通じた内容の理解には各種生成AIを利用しています。)
