PKIと雑談
@EurekaBerry and @hitok_
52: ISRGのAnual Reportの話(Let's Encryptとプライバシーとメモリセーフ移行)
2022年12月に収録したものをやっと配信できました!Let's Encryptの運営元として知られるINTERNET SECURITY RESEARCH GROUP(ISRG)の2022年のアニュアルレポートについて話しました。Let's Encryptについはもちろん、データ収集時のプライバシーの尊重を勧める「Divvi Up」、インターネットの基幹システムをメモリセーフティなコードにしていこうというイニシアチブである「Prossimo」について紹介されていました。雑談では焼き栗にしたらうまくいった話、手打ちうどん・そばの話をしました。 Let’s build a better Internet https://www.abetterinternet.org/documents/2022-ISRG-Annual-Report.pdf Divvi Up https://divviup.org/ Prossimo https://www.memorysafety.org/about/
51: Twitter.comのドメイン登録と証明書有効期限切れが心配されていた時の話
2022年11月に収録した回をようやく配信できました!お待たせいたしました。 Twitter.comの証明書の有効期限が切れそうでハラハラした話、ブラジルの国が運営しているWebPKIのCA(SERPRO's CA)を新しくルートプログラムに登録したいという議題が6週間のオープンディスカッション期間に入っていた話(のちに2023年3月まで議論がサスペンドされました)、PKI関連の書籍が新しく出ていた話をしました。雑談でははてしない物語、揺り戻しの少ない休暇の取り方について話しました。 Twitter.com Public Discussion of SERPRO's CA Inclusion Request https://groups.google.com/a/ccadb.org/g/public/c/Mux855BsRg4/m/MhxJXipVAwAJ ネットワークセキュリティ詳説 PKI/TLSプロトコル https://www.amazon.co.jp/dp/4339029297
50: Chrome Root Programがついにローンチされた話(Chrome105から)
2022年9月下旬(収録当時)、ついにChrome Root Programがローンチされた話、ルートプログラムだけでなく証明書検証のプロセス自体もChrome Cert Verifierという独自のものを使うようになる話、証明書のパス構築と証明書検証において歴史的な変化となりそうですよね…という話をしています。雑談では、技術書典13の本にも登場したゆりかさんのピーマンの話のその後、万願寺とうがらしはテキサスのとうがらし(正確にはニューメキシコで採れてテキサスでも流通しているHatch Chile)にそっくり、お気に入りの梨(新甘泉・荒尾梨)などの話をしました。※ひとけーがモバイル環境で収録したためひとけーだけ音がよくないです、すみません! Announcing the Launch of the Chrome Root Program https://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.html CA/B Forumで紹介された資料 https://drive.google.com/file/d/1BksDjW0yCcgWiEZ5A5R_a_GHdUYPnCVc/view Frequently Asked Questions https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md Adam Langleyさんのブログ ImperialViolet https://www.imperialviolet.org/
49: HTTPSのRFCが更新されてCN検証が禁止になった話
ご無沙汰しております!休暇中の設備で録音したためひとけーだけ音がよくないです、すみません。IIJ Engineers Blogで2022年6月に発行されたRFC9110(HTTP Semantics)でHTTPSでの証明書検証においてサーバのアイデンティティの確認にCommon Name(CN)項目は使えません(CN-ID MUST NOT be used by clients)と決められた話をしています。すでにChromeでは2017年くらいからSubject Alt Name(SAN)を使うような動作になっています。 雑談ではゆりかさんが素数ゼミの本を読んだ話、ひとけーが家の窓にできた蜂の巣を観察している話をしました。 HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について https://eng-blog.iij.ad.jp/archives/14820 素数ゼミの謎 https://www.amazon.co.jp/dp/B0855L5QZ9
48: BIMIの利用拡大とLet's EncryptがCRL発行を始める話、技術書典13に本を出した話
BIMIの利用が広がっているようです。Yahoo! Japanが送信メールでBIMIに対応したとのニュースがありました。Tech blogにはBIMIの説明やトラブルシュートの様子が記載されており参考になりました。またLet's Encryptではいくつかのルートプログラムの要請により今まで発行していなかったCRLの発行を始めるとのこと。WebPKIの失効検証が大きく変化していますねという話をしました。 また、技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました。 技術書典13 オンラインマーケット開催期間の2022/09/10~2022/09/25に、以下のURLから無料で入手できます。PKIの話と雑談という構成でかなりポッドキャストを再現できたと思います。頻出単語の用語集や図を使った脆弱性の解説、園芸や音楽の話を書きました。ぜひ見てみてください。今回の雑談でちょっと紹介しています。 「ひとくちPKI Journal 1」 https://techbookfest.org/product/igGG2Qv12G2Hm98aWQAKxi Yahoo! JAPAN がBIMIを導入 • フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格「BIMI」を導入 - ニュース - ヤフー株式会社 • Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話 - Yahoo! JAPAN Tech Blog A New Life for Certificate Revocation Lists • https://letsencrypt.org/2022/09/07/new-life-for-crls.html 技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました! • https://techbookfest.org/product/igGG2Qv12G2Hm98aWQAKxi
47: ChromeでEV証明書の失効検証もOCSPで確認しなくなる話
OCSPが持つプライバシーへの懸念を理由の一つとして、Chrome106からはDVやOV証明書がすでにそうなっているようにEV証明書でもOSCPでの証明書失効検証を行わなくなるのとのこと。Webサーバー管理者から見るとOCSP staplingをやったほうがいいケースがありそうという話をしました。 ほか、OCSPのRFCって史上最悪級に読みにくいらしい、湖でカメを助けた、夏野菜の育成に失敗したことなどを話しました。 • Revocation checking for EV server certificates in Chrome (google.com) https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/S6A14e_X-T0/m/T4WxWgajAAAJ • 自分の行っているセキュリティ関連の情報収集 - ドキュメントを見たほうが早い (hatenablog.com) https://benevolent0505.hatenablog.com/entry/2022/08/29/170000 ひとくちPKIをご紹介いただきましてありがとうございます!
46: PKI成熟度モデルというものが議論されています
PKIコンソーシアムにPKI Maturity Model Working Groupというものができ、PKIを運用している組織の成熟度を評価するモデルを整えようという活動が行われているようです。使いやすいモデルを使って自分たちの組織の成熟度評価ができるようになるといいですねという話をしています。 雑談では日本のナスがおいしいアメリカの大きい唐辛子がおいしいなど夏野菜の話、フジロックの話からコロナ時代がもたらした音楽ライブの楽しみ方の変化などについて話しました。 What is the PKI Maturity Model (PKIMM) and how can you contribute? https://pkic.org/2022/07/11/what-is-the-pki-maturity-model-pkimm-and-how-can-you-contribute/
45: CTを使って脆弱なRSA鍵を調べる話と、夏と青春18きっぷの話
Certificate Transparencyのデータを使って大量の証明書からRSA鍵を取り出して調べたら因数が重複しているものが見つかったという研究について話しました。2022年5月の時点で1.59億個の鍵を調査することができ、問題があった鍵は8個見つかったのだとか。案外少ないなと思ったし、以前より良くなっている気がする…というような話をしています。 雑談では夏は暑い、JRの青春18きっぷで東京から博多まで行くときのお気に入りのルーティーン、九州列車旅の話をしました。 Finding shared RSA factors in the Certificate Transparency logs https://bora.uib.no/bora-xmlui/bitstream/handle/11250/3001128/Masters_thesis__for_University_of_Bergen.pdf 青春18きっぷ https://railway.jr-central.co.jp/tickets/youth18-ticket/
44: AppleがBIMIのサポートを始める話と、夏の活動限界、古墳の話など
IPhoneとMacOSのメールクライアントでBIMIのサポートが始まるようです。また実際BIMI対応するにあたってなかなか大変だったお話がJANOG49であったようでした! 雑談では塩味の食べ物、バイク、夏の活動限界、歴史勉強したけど覚えてない、大阪の古墳群世界遺産になったけどそんな雰囲気全然ないなどの話をしました。 • VMC Adoption is Growing with Apple Support | DigiCert : iPhones (iOS 16) (MacOS Ventura) This fall • https://www.digicert.com/blog/vmc-adoption-growing-with-apple-support • Email Client Market Share and Popularity – Litmus • https://www.litmus.com/email-client-market-share/ • これから始めるBIMI ~メールにロゴを表示させるまでの長い道のり(継続中) 平野 善隆さん(株式会社クオリティア) • https://www.janog.gr.jp/meeting/janog49/wp-content/uploads/2021/12/bimi-pre_hirano_20220126.pdf
43: TLS接続エラーのトラブルシュートが大変な話(えっAIA見てないの?編)
Sysadminの立場からTLS接続エラーのトラブルシュートをして面倒だった話をChris Siebenmannさんがブログに書かれており、結果的にWebサーバが中間CA証明書を送っていなかったという結末だったのですが、その話の中でFirefoxは中間CA証明書をプリロードしていたり、ChromeやEdgeは中間CA証明書をキャッシュしたりするんだって~えっ証明書の中に入っている機関情報アクセス(AIA)は見られないの!?知らなかった~!というような話をしました。 雑談ではずっと車の話をしています。旅先でCivic Del Solという珍しい車を見たがRecognizeできず焦った(経験だけで足りるということはなく、体系的な学習が必要なのだ)話やそのシビックデルソルの屋根の開き方がやばい話(絶対映像見てほしい)、昔乗ってた古い車の話、次買う車ガソリン車かな~というような話などをしています。 そして話の中でS600と言っているのはS660が正しく、MRSと言っているのはMR2が正しく、キャデラックエスカレードの全長が4mくらいと言っているのは5.4mが正しいです!大変失礼いたしました。 Missing TLS intermediate certificates can create mysterious browser problems https://utcc.utoronto.ca/~cks/space/blog/web/TLSIntermediateCertHell URLおもしろい。依存関係のトラブルをDLL HELLと言うのと似てますね。 Preloading Intermediate CA Certificates into Firefox https://blog.mozilla.org/security/2020/11/13/preloading-intermediate-ca-certificates-into-firefox/ Civic Del Solのオープン屋根の開き方がやばい CR-Xデルソル 電動オープン
42: GoogleのCTログサーバのリタイアで一部のTLS接続がエラーになるケースがあった話とずっと乗り物の話
先日、計画作業として実施されたはずのGoogleのCTログサーバのリタイアの影響で、そのCTログサーバを参照するサーバ証明書がまだ生きていてCTログの検証が行えずTLS接続がエラーになる事象が起きていました。証明書にはCTログサーバ参照先が2つ以上書かれているはずですが、もうひとつのほうも落ちており、結局のところGoogle頼みだったんだね…というような話をしています。 雑談ではずっと乗り物(CB400SFのサンセット、トップガンマーベリック見た、Ninja H2かっこいい、SOAのキリトのバイク納得いかない、高速鉄道の世界最速のレギュレーション納得いかないなど)の話をしました。 • Google の CTログの撤去が、CTエラーになっていた件 • Temporary rollback of recent Google log retirements • https://groups.google.com/a/chromium.org/g/ct-policy/c/P3_hj9QmsLc/m/S9xohdAHAQAJ?pli=1 • Turning down non temporal Google CT Logs • https://groups.google.com/a/chromium.org/g/ct-policy/c/8mZ2ljdbQJo
41: Chrome Root Programがアナウンスされました
以前からやるよと言われていたChrome Root Programのポリシーが公開されました。CA証明書を5年ごとにリプレースしてほしいというところが目玉なのかな、といった話をしました。雑談では枝豆、マスターキートンの電子版の配信が始まった、推しって単純に好きっていう状態とは違うのか?それともほとんど同じなのか?とにかく飛行機乗りたいなどの話をしました。 Chrome Root Program (chromium.org) https://www.chromium.org/Home/chromium-security/root-ca-policy/ https://twitter.com/estark37/status/1533923475491958784
40: Black hat USAでRPKIについてのセッションがあるみたい
Black hat USAでRPKIについてのセッションがあるみたいです。RPKIについてはJPNICの方が説明してくださっているワークショップのビデオが公開されています。あとはPKI用語についての小話、CD買った話、ヘッドホン買った話などをしました。 ○ Black hat USA 2022 - Stalloris: RPKI Downgrade Attack ▪ https://www.blackhat.com/us-22/briefings/schedule/index.html#stalloris-rpki-downgrade-attack-27348 ○ JPNIC RPKIワークショップ ▪ RPKIワークショップ ▪ ○ Sectigoのポッドキャスト:PKI 用語の話 ▪ Root Causes 218: PKI Nomenclature Oddities | Sectigo® Official ○ ヘッドホン買った ▪ SONY ステレオヘッドホン MDR-7506 https://www.amazon.co.jp/dp/B000AJIF4E
39: Mozillaがサーバ証明書のCRLは失効理由入りで出してほしいって、あと私たちなまってますよねの話
Mozillaのルート証明書ストアポリシーが、サーバ証明書のCRLにはRFC 5280で決められている失効理由を表すReason Codeを入れることを求める内容に変更された話と、そのほか失効検証にまつわるあれこれを話しました。雑談では、私たちなまってますよね、技術書典で本を出すつもり、記念のマグカップを作ろうの話をしました。 Revocation Reason Codes for TLS Server Certificates - Mozilla Security Blog https://blog.mozilla.org/security/2022/05/16/revocation-reason-codes-for-tls-server-certificates/ MozillaのRevocation についてのWiki CA/Revocation Checking in Firefox - MozillaWiki 失効検証のFailure Rate https://telemetry.mozilla.org/new-pipeline/evo.html#!aggregates=0%2520bucket%2520percentage&cumulative=0&end_date=2019-12-02&include_spill=0&keys=!__none__!__none__&max_channel_version=beta%252F71&measure=CERT_VALIDATION_HTTP_REQUEST_RESULT&min_channel_version=beta%252F50&processType=*&product=Firefox&sanitize=1&sort_keys=submissions&start_date=2019-10-21&trim=1&use_submission_date=0 Mozilla CRLite Introducing CRLite: All of the Web PKI’s revocations, compressed - Mozilla Security Blog 藤井風さん さよならべいべ: Fujii Kaze - SAYONARA Baby at Okayama Civic Hall 何なんw: 藤井 風(Fujii Kaze) - “何なんw”(Nan-Nan) at 日本武道館(Nippon Budokan)
38: Alexa.comのリタイアとCTを監視して攻撃してくる手法の話
Alexa Top Millionを提供していたalexa.comが2022/5/1にリタイアした話、CTを監視して作りたてのWordPressを狙って攻撃してくる手法があるみたいという話をしました。雑談ではピザの話(続き)、家庭菜園何植える?、期待に応えるための接待サボテン、テキサスは2番目(アラスカの次)に大きくて日本の2倍、デラウェア州、本州一周6000kmの旅の話などをしました。 Alexa.com Mirror, Mirror, on the Wall, Who’s the Fairest (website) of Them all? https://www.domaintools.com/resources/blog/mirror-mirror-on-the-wall-whos-the-fairest-website-of-them-all CTからの攻撃について@matsuuさんのツイートスレッド https://twitter.com/matsuu/status/1522751803242455043?s=20&t=yRyJ5_doufEWESpXecld9Q WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued https://portswigger.net/daily-swig/wordpress-sites-getting-hacked-within-seconds-of-tls-certificates-being-issued
37: SHA1のSunsetの話
SHA1のリタイアが進んでいます。2022/6/1からはOCSPレスポンスの署名にSHA1を利用できなくなる話、CABFのS/MIME WGでは証明書の項目を詰める議論がされてるみたいという話をしました。雑談では「令和の時代に○○を見るとは思わなかった~」を英語で表現する方法、カフェオレ作るとき氷・牛乳・コーヒーどの順番で入れる?の話などをしました。 Sunset for SHA1 Ballot SC53: Sunset for SHA-1 OCSP Signing | CAB Forum CABF S/MIME WG Meeting Minutes https://cabforum.org/2022/04/13/2022-04-13-minutes-of-the-s-mime-certificate-working-group/ https://cabforum.org/2022/03/30/2022-03-30-minutes-of-the-s-mime-certificate-working-group/
36: EUの適格Webサイト証明書導入とそれにまつわる懸念の話
EUで適格Webサイト証明書というものの導入が議論されており、有用性や適格証明書を発行する認証局の認定を巡ってラウザベンダーからはレターが出されるなど懸念が表明されている状況らしい…という話をしました。雑談パートでは庭に咲いた花、テキサスの夏、日本のコンビニ、アメリカのお菓子の話をしました。 適格Webサイト証明書 Qualified Website Authentication Certificates (QWACs) 参考サイト EU plans to mandate less secure certificates in browsers | Bulletproof TLS Newsletter | Feisty Duck If it looks like a duck, swims like a duck, and QWACs like a duck, then it's probably an EV Certificate (scotthelme.co.uk) Qualified website authentication certificate - Wikipedia Mozilla and the EFF publish letter about the danger of Article 45.2
35: 予備の証明書を発行しておく話、S/MIME証明書を個人で取るのが難しい話、土いじりの話
Cloudflareでは何らかの理由で現在利用中の鍵や証明書が使えなくなった場合に備えて、予備の鍵と証明書を発行しておく取り組みを始めるらしいという話、個人でS/MIME証明書を取得するには苦難が伴う話、ベジフル大百科というポッドキャストが面白い話、雑草絶対抜く器具や虫絶対殺すやつの話をしました。 Cloudflare Introducing: Backup Certificates (cloudflare.com) Ryan HurstさんのS/MIMEについてのツイート https://twitter.com/rmhrisk/status/1501635511097577472 雑草絶対抜くやつ https://www.gizmodo.jp/2022/01/248663-machi-ya-skidger-start.html
34: Amazon.co.jpと楽天がBIMI対応した話
Amazon.co.jpと楽天が送信するメールにBIMIでブランドロゴが表示される ようになってるという話と、ひとくちPKIが1周年を迎えましたという話をしました。 楽天サービスに対する不正対策-なりすまし・フィッシングメール対策- (rakuten.co.jp) BIMI Inspector - BIMI Group
33: HPKP廃止の話、WebPKI(EV,OV)でのOUフィールド廃止の話と、冬眠とアニメ令和リファインの話
HTTP Public Key pinning(HPKP)廃止のタイムラインにつて Remove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com) https://groups.google.com/a/chromium.org/g/blink-dev/c/he9tr7p3rZ8/m/eNMwKPmUBAAJ > Finally, remove support for built-in PKP (“static pins”) at a point in the future when Chrome requires Certificate Transparency for all publicly-trusted certificates (not just newly-issued publicly-trusted certificates). (We don’t yet know when this will be.) →Preloaded(Static/Built-in) Public Key pinnning は今も廃止されていない? 67で廃止予定だった(2017年10月に発表、2018年5月に安定版配信)が開発者コンソールにメッセージが出るようになり、72(2019年1月)で完全に廃止になったように見られる 779166 - Deprecate And Remove header-based HTTP Public Key Pinning (HPKP) - chromium OUフィールドが廃止される話 Ballot SC47v2: Sunset subject:organizationalUnitName | CAB Forum Due to New Rule, OU Field to Be Deprecated in Sectigo Issued Certificates Starting July 1st 2022 | Sectigo® Official アニメの令和リファイン ダイの大冒険狂おしいほどいい https://dq-dai.com/ うる星やつら楽しみ https://uy-allstars.com/
こちらもおすすめ
午後3時の交換日記
あれこれ考えるのが好きなそいとあんなが、聴く交換日記をコンセプトにお届けするPodcast番組。わざわざ連絡するほどでもないけれど一緒に分かち合いたい日常のこと、昨日見たドラマの話、社会やカルチャー、自分の心地よさの話…など、好きなことを好きなだけおしゃべりしていきます。 なにかをする気力まではないけれど、こんがらがった頭の中を、ゆっくりとほどきたい。そんな昼下がりに、ひと休みしながらお聞きください。このPodcastには、きっと紅茶がよく合うはず。 ▼話しているひと そい:新潟で健やかに暮らしている。フリーランスのPRプランナー。時々農家と、文章を書いたりしている。おいしく食卓を囲むこと、もふもふの動物、テレビドラマとPodcastがすき。 あんな:音楽家 と 文筆家。フリーランスでインタビューライティングをしながら、音楽ユニット「あこがれの女の子」で曲をつくっている。誰かの日記を読むこと、散歩がすき。 ▼おたよりフォーム https://forms.gle/fsjcxoXCZjZ58J529 ▼番組メールアドレス pm3.diary@gmail.com ▼LISTEN https://listen.style/p/pm3diary?WWkeSTsy
SubmarineCastさぶまりんきゃすと
さぶまりんきゃすとは美術部に所属している大学生の友達2人で深く潜っていく様にふわふわと話していく番組です! 文字起こし:https://listen.style/p/submarinecast?3twuufcj
でがらし
日記をぼちぼちと。 https://listen.style/p/socha39diary?gvHswBbo
amayaの部屋
未定〜
いいたいこという練習帳
意見を述べるのがとにかく苦手なわたしが、日々の曖昧な考えごとをどうにか言葉にしようともがきます。 感想や質問など、何かありましたらご遠慮なくお送りください。お待ちしています:) Wavebox(絵文字だけでもテキストでも): https://wavebox.me/wave/bc7sgqttzpd8ww2u/ 文字起こし: https://listen.style/p/iitai?t8greVUD webサイト: https://scrapbox.io/iitai/
タメ口.fm
Yoshiori と Draftcode が好きな技術に対して気兼ねなくタメ口で話すだけの podcast. 気兼ねなく話すため、タメ口で話しています。そういったラフな言葉遣いに嫌悪感のある人にはごめんなさい! あと、とくに裏とかとってないので間違えたことを話している可能性があります。 なんか .fm って付けたほうがポッドキャストっぽいかなと思ったのでタイトルに付けたけどドメインとかは取ってないです。