PKIと雑談
@EurekaBerry and @hitok_
68: SSL.comによるサブCA運用まとめペーパー、Entrustの連続インシデントの話
SSL.comからサブCAの運用に関するベストプラクティスについてのペーパーが発行されました。ep58,59で話した、インシデントの後に各ルートプログラムからリムーブされたe-Tugra CAがSSL.comのリセラーであったことが関連していると思われます。 また、Entrustが2024年3月~5月に22件のインシデントを起こしており、その後の対応が良くなかったため、MozillaのルートプログラムからEntrustに対して根本的な対処について詳細な提案が求められている件について話しました。 雑談ではルービックキュープ上達した話、ぶらさがり1秒と23秒の話、ジムに行くために自分を律する話、どすこいすしずもうの話、ちょっとブームがすぎたものを好きになると、グッズ集めが難しい話などをしました。 SSL.com: Lessons Learned, Security Implications and Good Practices for Branded SubCAs https://www.ssl.com/article/lessons-learned-security-implications-and-good-practices-for-branded-subcas/ 関連するBugzillaのスレッド https://bugzilla.mozilla.org/show_bug.cgi?id=1867851 Recent Entrust Compliance Incidents (google.com) https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/LhTIUMFGHNw CA/Entrust Issues – MozillaWiki https://wiki.mozilla.org/CA/Entrust_Issues 「どすこいすしずもう」公式チャンネル https://www.youtube.com/channel/UCdfXACHBNiuVR8f4PRwDrEA
67: Digicert EV証明書で大文字小文字不備のインシデントがあった話
5月初旬、DigicertのEV証明書のBusiness Categoryに本来大文字のところが小文字になっている不備があったことが明らかになりました。BR違反として約1.1万枚が失効・再発行処理となったようですが、こうなるまでにドラマがあったようでした、という話をしました。その他、雑談では技術書典16でひとくちPKI Journal3を出した話、日本語でTLSのいい本が出た話→SSL/TLS実践入門(献本をいただきました!ありがとうございます!)、自宅で皆既日食観測できた、オーロラ観測チャレンジ、北米13年ゼミと17年ゼミの同時大量発生の話、人間の氷河期の生存戦略などについて話しました。 1894560 - DigiCert: Incorrect case in Business Category (mozilla.org) Amazon.co.jp: SSL/TLS実践入門──Webの安全性を支える暗号化技術の設計思想 WEB+DB PRESS plus eBook : 市原 創, 板倉 広明: Kindleストア 技術書典16 ひとくちPKI Journal 3 (無料です!) 珍獣図鑑(11):17年に一度の大発生! 周期ゼミの遺伝子に仕掛けられた“時計”を探せ
66: 中間CAもローテートする時代らしい
Let's Encryptの中間CAが新しい構成になる話をしました。なんとその数RSA5つ、ECDSA5つの計10個。それぞれで2つが稼働、3つがバックアップという構成をローテーションするそうです。以前あったHTTP Public Key Pinning (HPKP)をdiscouragesする意図もあるみたい。雑談では成果物、編み物、ルービックキューブ、ぶら下がり健康器の話をしました。 New Intermediate Certificates https://letsencrypt.org/2024/03/19/new-intermediate-certificates
65: Let's EncryptがCTサーバに新アーキテクチャを発表(Sunlight)
小ネタ集としてLEが新しく発表したCTサーバの新アーキテクチャ実装Sunlight、2024年のReal World Crypto学会でCTがLevchin Prizeを受賞、1字違いのプレーンテキストでのMD5衝突の話をしました。雑談ではテキサス&シアトル小旅行(テキサスの接待サボテン、シアトル散歩、シアトルはタコグッズ推し、インフレ、飛行機で映画何見る?、Kindle本セールなど)の話をしました。 Let's EncryptがCTサーバの新アーキテクチャ実装 Sunlight を発表しました。 https://letsencrypt.org/2024/03/14/introducing-sunlight ボトルネックだったリレーショナルデータベースをやめた。 まだブラウザから検証元として信頼はされてないようですがログ投入やモニターすることはもうできるみたいです 3月末にReal World Cryptoという学会が行われまして、そこで今年のLevchin PrizeというのにCertificate Transpearencyのクリエイターたちが選ばれたようです。 RWC自体では耐量子暗号とか、時勢の緊張も相まってメッセージのE2E暗号化とかの話題が多かったように思いました。アブストラクトはWebサイトから見れます。 https://rwc.iacr.org/2024/program.php 1文字だけ違うアルファベットの文字列でMD5のハッシュが衝突する事例が見つかったようです https://twitter.com/realhashbreaker/status/1770161965006008570 md5("TEXTCOLLBYfGiJUETHQ4hAcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak") = md5("TEXTCOLLBYfGiJUETHQ4hEcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak") 集英社のKindle本50%ポイント還元セールでドクタースランプ、ドラゴンボール、鬼滅の刃、ワンピース全巻買いました(ひとけー)
64: Google Trust Service のインシデントレポートの話とChrome Root Programの新バージョンが出た話
冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogleTrustedServiceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。 冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version 1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogle Trusted Serviceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。 • Google Trust Services のインシデントレポート ○ 1876593 - Google Trust Services: Failure to properly validate IP address (mozilla.org) https://bugzilla.mozilla.org/show_bug.cgi?id=1876593 • Chrome Root Programの新バージョンでてました。 ○ Chrome Root Program Policy, Version 1.5 ○ Last updated: 2024-01-16 ○ https://www.chromium.org/Home/chromium-security/root-ca-policy/ ○ Chrome Root Program Policy Version 1.5 (TRACKED CHANGES).docx - Google ドキュメント https://docs.google.com/document/d/1soL-ZFOp8LeUwvQjKlacf2GWuvjYJ1A7/edit#heading=h.gjdgxs • 三都屋のお餅 ○ https://kuromon-mitoya.com/product_list/mochi/
63: ChromeがCTログサーバの可用性要件を求めるようになった話
ひとけーが今年1/23-26に長崎で行われるSCIS2024で発表します。記事を出すことで自分の役割を果たしたと思っていたけど、対策を世の中にデリバリするにはもう一仕事必要そうだなとおもってもがいている話もちょっとしました。PKIネタではChromeがCTログサーバとして参照するのに可用性要件(90日平均で99%)を求めるようになった話をしました。雑談ではテキサス寒波到来、ゲーム捗った、パンを焼く、もち用アルミホイルなどの話をしました。 2024年 暗号と情報セキュリティシンポジウム(SCIS2024) https://www.iwsec.org/scis/2024/ New availability requirements for logs trusted by Chrome coming into effect March 31, 2024 https://groups.google.com/a/chromium.org/g/ct-policy/c/4G-lF2N8H7A/m/fJ4WgAunAQAJ Pillsbury https://www.pillsbury.com/ 東洋アルミ おもちを焼くホイル https://www.amazon.co.jp/%E6%9D%B1%E6%B4%8B%E3%82%A2%E3%83%AB%E3%83%9F-TOYO-ALUMINIUM-%E3%81%8A%E3%82%82%E3%81%A1%E3%82%92%E7%84%BC%E3%81%8F%E3%83%9B%E3%82%A4%E3%83%AB/dp/B0088B5I6O/
62: WebPKIのシェアでLet’s Encryptが過半数を超えた話
技術書典15とInternet Week 2023に出る話、WebPKIのシェアでLet’s Encryptが過半数を超えた話をしました。雑談では、100kmライド走った話、ムール貝のワイン蒸しの話、サブウェイからターキーブレストがなくなった話をしました。 WebPKIのシェア https://twitter.com/rmhrisk/status/1708144837252567238
61: CABFのS/MIME Baseline RequirementとGmailでBIMIの青バッジがスタート
2023/9/1からCA/Browser Forumの S/MIME ワーキンググループで議論されてきた Baseline Requirementの運用がスタートした話と、メールクライアントで認証済みの発行者からのメールにブランドアイコンを表示するBIMIに対応したメールについて、Gmail上で青バッジが表示される運用が始まったようだという話をしました。雑談ではひとけー学位授与機構で学位(学士(工学))取れたよの話、夏休み何してた?パスポート切れた!など旅行あれこれの話をしました。
60: Let's Encryptのインシデント対応がすごい話とトラストチェーンが短くなる話
Let's Encryptでシリアルナンバーが重複する異なる証明書が発行されたインシデントの報告があり、その発見から対応までのタイムラインがすごいという話と、来年2024年9月からLEのトラストチェーンからクロスサイン証明書が減って短くなるという話をしました。技術書典15に出ます!よろしくお願いします! ・Let's Encrypt で6/15に発生していたインシデントの話 1838667 - Let's Encrypt: Duplicate Serial Numbers (mozilla.org) ・サービスダウンを発見したSSLmateの人の総括ブログ:The Story Behind Last Week's Let's Encrypt Downtime (agwa.name) ・LEが実施したこの変更に伴うサービスダウンだった: Small change to end entity certificates: CPS URL and OID will not be included from June 15 - API Announcements - Let's Encrypt Community Support (letsencrypt.org)
59: European Signature DialogがGoogleのふるまいをAnti-competitiveと言っている話など
前回の配信回で取り上げたE-Tugra、Chromeの信頼されるルートCAリストから削除されることが決まったようです(6/15までに配信されるChrome root store v11から)。ほか、EUのトラストサービスのプロバイダーの組織 European Signature Dialog が Google の提唱する90日のshort-lived Certificateに対する懸念を、EU機関にむけて発信している話をしました。European Signature DialogはGoogleのふるまいをAnti-competitiveと言っているようです。 雑談では学位授与機構の試験を受けてきた話、新しく買った電子レンジにWi-Fiがついてる話などをしました。 Security concerns with the e-Tugra certificate authority https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/yqALPG5PC4s Mozilla でも議論がはじまりました Review of e-Tugra's Inclusion in Mozilla’s Root Store (google.com) Google returns to anticompetitive behavior by limiting all certificates to 90 days only https://www.european-signature-dialog.eu/Google_returns_to_anti-competitive_behavior-ESD_26042023.pdf
58: E-Tugra CAのインシデントがbugzillaのフォーラムで議論されている話
トルコのCA、E-Tugraから2022年11月にインシデントがレポートされてから、今も引き続きそのインシデントについて議論が行われています。 Public Trusted CAとしてRootプログラムに登録されているCAには、規約の遵守が求められることに加えてインターネットコミュニティからの厳しい目が向けられている、というような話をしました。雑談では、技術書典14でJournal2が出た話(無料です!)、トルコやメキシコに行きたい話をしました。 • E-Tugra: Incident Report (Security Issues) ○ https://bugzilla.mozilla.org/show_bug.cgi?id=1801345 • SSL.com: e-Tugra Security Issues ○ https://bugzilla.mozilla.org/show_bug.cgi?id=1832570 • ひとくちPKI Journal 2 (技術書典14) ○ https://techbookfest.org/product/q4FqjLAxr9rfU9EMQX7wVG
57: コード署名の話
2023/06/01から、Public Trustedなコード署名証明書の発行において Baseline Requirement で秘密鍵保護の強化が施行されます。もともとは2022年の11月に施行される予定だったものが延期されていました。これまでオプションとして許容されてきたソフトウェア鍵生成での証明書発行(PKCS#12形式で保管)が選択肢から外れ、実質的に禁止されることになりました。これによってコード署名付きマルウェアの観測が減っていくのでは…という話をしました。また技術書典で出す予定の本「ひとくちPKI Jornal2」にBYOVD(Bring Your Own Vulnerable Driver)についての記事をひとけーが書いている話もしました。ほとんど全部ネタバレしました。 Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates https://cabforum.org/wp-content/uploads/Baseline-Requirements-for-the-Issuance-and-Management-of-Code-Signing.v3.2.pdf
56: ChromeでHTTPSの鍵マークがなくなる話
30年の歴史を持つらしいHTTPSの鍵マークが、今年の秋ごろからChromeでは「チューンアイコン」へ変更されることについて話しました。雑談では、自転車に乗ると楽しいという話をしました。 https://blog.chromium.org/2023/05/an-update-on-lock-icon.html https://scotthelme.co.uk/goodbye-old-friend/
55: ACME Renewal Information (ARI)の話
Let's Encryptで証明書の失効と更新の自動化をサポートするACME Renewal Information (ARI)の運用が開始された話、クラウドフレアでドメイン保有者からの権限委譲でACMEでの証明書発行自動化を実施できるようになるDomain Control Validation (DCV)の運用が開始された話、技術書典14で新刊を出す決意表明などを話しました。雑談では何もしてないのにスマホが壊れた話をしました。 • Improving Resiliency and Reliability for Let’s Encrypt with ARI • https://letsencrypt.org/2023/03/23/improving-resliiency-and-reliability-with-ari.html • Out now! Auto-renew TLS certificates with DCV Delegation • https://blog.cloudflare.com/introducing-dcv-delegation/ • GlobalSign Announces ACME OV Certificate Support • https://www.globalsign.com/en/company/news-events/news/acme-ov-certificate-support • 技術書典14 • https://techbookfest.org/event/tbf14
54: CT v3移行切り戻しとJA3の話、NIST SP 800-63-4の翻訳と漫画の話
2023年2月にCT v2からv3への移行が実施後に切り戻された話、コード署名証明書でもCTやってくれないかなの話、TLSハンドシェイクの情報を使ってサイバー攻撃のインフラを判別するJA3という手法の紹介と、ちょっとZT Browserの話をしました。雑談ではひとけーがNIST SP 800-63-4の翻訳に参加した話、漫画たくさん読んだ話、世紀末系の話が怖い話をしました。 • どうやら、(予定されていた) certificate transparency (CT) v3 への移行後、対応してないためにCTエラーがでているアプリが多数出ている模様👀 ○ https://twitter.com/EurekaBerry/status/1626048541906059265 • JA3 初めて知った ○ https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/ ○ https://engineering.salesforce.com/open-sourcing-ja3-92c9e53c3c41/ • NIST SP 800-63 Digital Identity Guidelines Revision 4 (翻訳版) ○ https://openid-foundation-japan.github.io/800-63-4/index.ja.html ○ ひとけーが翻訳に参加しました • コミックデイズでいくつかのイブニング作品の読み放題実施中です ○ https://comic-days.com/blog/entry/evening_0festival
53: CA/B Forumに新しく加入するときの手続きの話
ZT Browser が CA/B Forum の Server Cert WG に参加申請を出していて、Ballot が行われたけど否決されてしまった様子の話をしました。雑談では、手続きのためにヒューストンに行ったけど珍道中になってしまった話、学士の学位がない人は学位授与機構から学位をもらおう!という話をしました。 [Servercert-wg] Discussion period begins: Ballot SC60: Membership of ZT Browser (cabforum.org) https://zotrus.com/en/blog/apple-google-mozilla-opera-what-are-you-afraid-of.html 単位積み上げ型の学士の学位授与制度(大学改革支援・学位授与機構) https://www.niad.ac.jp/n_gakui/tsumiage/degree_awards_system/
52: ISRGのAnual Reportの話(Let's Encryptとプライバシーとメモリセーフ移行)
2022年12月に収録したものをやっと配信できました!Let's Encryptの運営元として知られるINTERNET SECURITY RESEARCH GROUP(ISRG)の2022年のアニュアルレポートについて話しました。Let's Encryptについはもちろん、データ収集時のプライバシーの尊重を勧める「Divvi Up」、インターネットの基幹システムをメモリセーフティなコードにしていこうというイニシアチブである「Prossimo」について紹介されていました。雑談では焼き栗にしたらうまくいった話、手打ちうどん・そばの話をしました。 Let’s build a better Internet https://www.abetterinternet.org/documents/2022-ISRG-Annual-Report.pdf Divvi Up https://divviup.org/ Prossimo https://www.memorysafety.org/about/
51: Twitter.comのドメイン登録と証明書有効期限切れが心配されていた時の話
2022年11月に収録した回をようやく配信できました!お待たせいたしました。 Twitter.comの証明書の有効期限が切れそうでハラハラした話、ブラジルの国が運営しているWebPKIのCA(SERPRO's CA)を新しくルートプログラムに登録したいという議題が6週間のオープンディスカッション期間に入っていた話(のちに2023年3月まで議論がサスペンドされました)、PKI関連の書籍が新しく出ていた話をしました。雑談でははてしない物語、揺り戻しの少ない休暇の取り方について話しました。 Twitter.com Public Discussion of SERPRO's CA Inclusion Request https://groups.google.com/a/ccadb.org/g/public/c/Mux855BsRg4/m/MhxJXipVAwAJ ネットワークセキュリティ詳説 PKI/TLSプロトコル https://www.amazon.co.jp/dp/4339029297
50: Chrome Root Programがついにローンチされた話(Chrome105から)
2022年9月下旬(収録当時)、ついにChrome Root Programがローンチされた話、ルートプログラムだけでなく証明書検証のプロセス自体もChrome Cert Verifierという独自のものを使うようになる話、証明書のパス構築と証明書検証において歴史的な変化となりそうですよね…という話をしています。雑談では、技術書典13の本にも登場したゆりかさんのピーマンの話のその後、万願寺とうがらしはテキサスのとうがらし(正確にはニューメキシコで採れてテキサスでも流通しているHatch Chile)にそっくり、お気に入りの梨(新甘泉・荒尾梨)などの話をしました。※ひとけーがモバイル環境で収録したためひとけーだけ音がよくないです、すみません! Announcing the Launch of the Chrome Root Program https://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.html CA/B Forumで紹介された資料 https://drive.google.com/file/d/1BksDjW0yCcgWiEZ5A5R_a_GHdUYPnCVc/view Frequently Asked Questions https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md Adam Langleyさんのブログ ImperialViolet https://www.imperialviolet.org/
49: HTTPSのRFCが更新されてCN検証が禁止になった話
ご無沙汰しております!休暇中の設備で録音したためひとけーだけ音がよくないです、すみません。IIJ Engineers Blogで2022年6月に発行されたRFC9110(HTTP Semantics)でHTTPSでの証明書検証においてサーバのアイデンティティの確認にCommon Name(CN)項目は使えません(CN-ID MUST NOT be used by clients)と決められた話をしています。すでにChromeでは2017年くらいからSubject Alt Name(SAN)を使うような動作になっています。 雑談ではゆりかさんが素数ゼミの本を読んだ話、ひとけーが家の窓にできた蜂の巣を観察している話をしました。 HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について https://eng-blog.iij.ad.jp/archives/14820 素数ゼミの謎 https://www.amazon.co.jp/dp/B0855L5QZ9
こちらもおすすめ
SDGs NEWS from Japan in English / Japan 2 Earth delivers stories and insights on improving the global environment and achieving the SDGs from Japan.
Our Purpose Japan 2 Earth delivers stories and insights that highlight contributions by Japanese communities and companies to improving the global environment and achieving the SDGs. Twitterhttps://twitter.com/japan_2_earth WEBhttps://featured.japan-forward.com/japan2earth/ Managing EditorSusan Yoshimura A US citizen based in Asia for over 20 years, Susan has a postgraduate degree in Environmental Education. She is a former environmental activist and media relations coordinator at Greenpeace Japan and research programme assistant at United Nations University, Tokyo. She has 15+ years experience in Japanese-to-English translation and editing in the environmental management field. Our Focus Areas [ Japanese Technologies ]Showcasing innovative technologies, from recycling and waste to transportation and beyond [ Earth's Diversity ]Drawing attention to biodiversity, and efforts to protect our oceans, skies, forests and waters [ Climate Change ]Delivering information on impacts, mitigation, adaptation and what we can do [ Clean Energy ]Exploring options, from renewables and clean coal to nuclear-to-hydrogen and biomass, along with the constraints, byproducts and trade-offs involved [ Op Ed ]Bringing you leading ideas, dialogue and hot debate, from all sides of the issues Tokyo Sankei Bldg., Otemachi 1-7-2, Chiyoda-ku, Tokyo, Japan 100-0004 E-mail: japan2earth@japan-forward.comPhone: +81-(0)3-3275-8511
London Tech Talk
Ken Wagatsuma & Yosuke Asai です。最新の技術ネタや海外転職、イギリスでの現地生活について喋ります。 https://listen.style/p/london-tech-talk?m8XPBRrT
ほっとテック
Podcast番組「ほっとテック」は、IT業界歴20年の @941 と、エンジニアの @youhei が「ほっと一息つけるテックな話題」をテーマに雑談を交えお届けします。感想など #ほっとテック をつけてTweetしてください!お便りはこちらから👉 https://hotto.tech/contact LISTEN👉 https://listen.style/p/hottotech
Yokohama North AM
IT Tech Talk Twitch Live https://www.youtube.com/channel/UCYsoCLlENgV6YjvvGDRiVJg occasionally on Saturday 21:00 (JST) https://listen.style/p/yokohamanortham?mdDMiV1K
英語で雑談!Kevin’s English Room Podcast
Tiktok/YouTube で活動中のKevin’s English Room のケビンと山ちゃん(英語勉強中)が英語で雑談するチャンネル。ほとんど英語なので、スピードラーニング的な感じで、ナチュラルな英会話に耳を慣らすのに役立てればと思って始めました! 【番組お便りの送り先】 →Kevin's English RoomのインスタのDMへ https://instagram.com/kevinsenroom ※メッセージの1行目に「Podcast宛」もしくは「Podcast Plus宛」とお書きください! ※Podcast Plus宛とは:通常の「Kevin's English Room Podcast」のスピンオフ番組で「Kevin's English Room Podcast PLUS」という番組をAmazon Musicのみで配信しています。PLUS版ではより英語に関する質問を答えています。PLUS版で読んでほしいDMには1行目に「Podcast Plus宛」とお書きください。 Tiktok:@kevinthepepperoni ・ YouTube: Kevin's English Room/掛山ケビ志郎 ・ Instagram:@kevinsenroom ・ Twitter:@kevinsenroom
タメ口.fm
Yoshiori と Draftcode が好きな技術に対して気兼ねなくタメ口で話すだけの podcast. 気兼ねなく話すため、タメ口で話しています。そういったラフな言葉遣いに嫌悪感のある人にはごめんなさい! あと、とくに裏とかとってないので間違えたことを話している可能性があります。 なんか .fm って付けたほうがポッドキャストっぽいかなと思ったのでタイトルに付けたけどドメインとかは取ってないです。