PKIと雑談
@EurekaBerry and @hitok_
50: Chrome Root Programがついにローンチされた話(Chrome105から)
2022年9月下旬(収録当時)、ついにChrome Root Programがローンチされた話、ルートプログラムだけでなく証明書検証のプロセス自体もChrome Cert Verifierという独自のものを使うようになる話、証明書のパス構築と証明書検証において歴史的な変化となりそうですよね…という話をしています。雑談では、技術書典13の本にも登場したゆりかさんのピーマンの話のその後、万願寺とうがらしはテキサスのとうがらし(正確にはニューメキシコで採れてテキサスでも流通しているHatch Chile)にそっくり、お気に入りの梨(新甘泉・荒尾梨)などの話をしました。※ひとけーがモバイル環境で収録したためひとけーだけ音がよくないです、すみません! Announcing the Launch of the Chrome Root Program https://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.html CA/B Forumで紹介された資料 https://drive.google.com/file/d/1BksDjW0yCcgWiEZ5A5R_a_GHdUYPnCVc/view Frequently Asked Questions https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md Adam Langleyさんのブログ ImperialViolet https://www.imperialviolet.org/
49: HTTPSのRFCが更新されてCN検証が禁止になった話
ご無沙汰しております!休暇中の設備で録音したためひとけーだけ音がよくないです、すみません。IIJ Engineers Blogで2022年6月に発行されたRFC9110(HTTP Semantics)でHTTPSでの証明書検証においてサーバのアイデンティティの確認にCommon Name(CN)項目は使えません(CN-ID MUST NOT be used by clients)と決められた話をしています。すでにChromeでは2017年くらいからSubject Alt Name(SAN)を使うような動作になっています。 雑談ではゆりかさんが素数ゼミの本を読んだ話、ひとけーが家の窓にできた蜂の巣を観察している話をしました。 HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について https://eng-blog.iij.ad.jp/archives/14820 素数ゼミの謎 https://www.amazon.co.jp/dp/B0855L5QZ9
48: BIMIの利用拡大とLet's EncryptがCRL発行を始める話、技術書典13に本を出した話
BIMIの利用が広がっているようです。Yahoo! Japanが送信メールでBIMIに対応したとのニュースがありました。Tech blogにはBIMIの説明やトラブルシュートの様子が記載されており参考になりました。またLet's Encryptではいくつかのルートプログラムの要請により今まで発行していなかったCRLの発行を始めるとのこと。WebPKIの失効検証が大きく変化していますねという話をしました。 また、技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました。 技術書典13 オンラインマーケット開催期間の2022/09/10~2022/09/25に、以下のURLから無料で入手できます。PKIの話と雑談という構成でかなりポッドキャストを再現できたと思います。頻出単語の用語集や図を使った脆弱性の解説、園芸や音楽の話を書きました。ぜひ見てみてください。今回の雑談でちょっと紹介しています。 「ひとくちPKI Journal 1」 https://techbookfest.org/product/igGG2Qv12G2Hm98aWQAKxi Yahoo! JAPAN がBIMIを導入 • フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格「BIMI」を導入 - ニュース - ヤフー株式会社 • Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話 - Yahoo! JAPAN Tech Blog A New Life for Certificate Revocation Lists • https://letsencrypt.org/2022/09/07/new-life-for-crls.html 技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました! • https://techbookfest.org/product/igGG2Qv12G2Hm98aWQAKxi
47: ChromeでEV証明書の失効検証もOCSPで確認しなくなる話
OCSPが持つプライバシーへの懸念を理由の一つとして、Chrome106からはDVやOV証明書がすでにそうなっているようにEV証明書でもOSCPでの証明書失効検証を行わなくなるのとのこと。Webサーバー管理者から見るとOCSP staplingをやったほうがいいケースがありそうという話をしました。 ほか、OCSPのRFCって史上最悪級に読みにくいらしい、湖でカメを助けた、夏野菜の育成に失敗したことなどを話しました。 • Revocation checking for EV server certificates in Chrome (google.com) https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/S6A14e_X-T0/m/T4WxWgajAAAJ • 自分の行っているセキュリティ関連の情報収集 - ドキュメントを見たほうが早い (hatenablog.com) https://benevolent0505.hatenablog.com/entry/2022/08/29/170000 ひとくちPKIをご紹介いただきましてありがとうございます!
46: PKI成熟度モデルというものが議論されています
PKIコンソーシアムにPKI Maturity Model Working Groupというものができ、PKIを運用している組織の成熟度を評価するモデルを整えようという活動が行われているようです。使いやすいモデルを使って自分たちの組織の成熟度評価ができるようになるといいですねという話をしています。 雑談では日本のナスがおいしいアメリカの大きい唐辛子がおいしいなど夏野菜の話、フジロックの話からコロナ時代がもたらした音楽ライブの楽しみ方の変化などについて話しました。 What is the PKI Maturity Model (PKIMM) and how can you contribute? https://pkic.org/2022/07/11/what-is-the-pki-maturity-model-pkimm-and-how-can-you-contribute/
45: CTを使って脆弱なRSA鍵を調べる話と、夏と青春18きっぷの話
Certificate Transparencyのデータを使って大量の証明書からRSA鍵を取り出して調べたら因数が重複しているものが見つかったという研究について話しました。2022年5月の時点で1.59億個の鍵を調査することができ、問題があった鍵は8個見つかったのだとか。案外少ないなと思ったし、以前より良くなっている気がする…というような話をしています。 雑談では夏は暑い、JRの青春18きっぷで東京から博多まで行くときのお気に入りのルーティーン、九州列車旅の話をしました。 Finding shared RSA factors in the Certificate Transparency logs https://bora.uib.no/bora-xmlui/bitstream/handle/11250/3001128/Masters_thesis__for_University_of_Bergen.pdf 青春18きっぷ https://railway.jr-central.co.jp/tickets/youth18-ticket/
44: AppleがBIMIのサポートを始める話と、夏の活動限界、古墳の話など
IPhoneとMacOSのメールクライアントでBIMIのサポートが始まるようです。また実際BIMI対応するにあたってなかなか大変だったお話がJANOG49であったようでした! 雑談では塩味の食べ物、バイク、夏の活動限界、歴史勉強したけど覚えてない、大阪の古墳群世界遺産になったけどそんな雰囲気全然ないなどの話をしました。 • VMC Adoption is Growing with Apple Support | DigiCert : iPhones (iOS 16) (MacOS Ventura) This fall • https://www.digicert.com/blog/vmc-adoption-growing-with-apple-support • Email Client Market Share and Popularity – Litmus • https://www.litmus.com/email-client-market-share/ • これから始めるBIMI ~メールにロゴを表示させるまでの長い道のり(継続中) 平野 善隆さん(株式会社クオリティア) • https://www.janog.gr.jp/meeting/janog49/wp-content/uploads/2021/12/bimi-pre_hirano_20220126.pdf
43: TLS接続エラーのトラブルシュートが大変な話(えっAIA見てないの?編)
Sysadminの立場からTLS接続エラーのトラブルシュートをして面倒だった話をChris Siebenmannさんがブログに書かれており、結果的にWebサーバが中間CA証明書を送っていなかったという結末だったのですが、その話の中でFirefoxは中間CA証明書をプリロードしていたり、ChromeやEdgeは中間CA証明書をキャッシュしたりするんだって~えっ証明書の中に入っている機関情報アクセス(AIA)は見られないの!?知らなかった~!というような話をしました。 雑談ではずっと車の話をしています。旅先でCivic Del Solという珍しい車を見たがRecognizeできず焦った(経験だけで足りるということはなく、体系的な学習が必要なのだ)話やそのシビックデルソルの屋根の開き方がやばい話(絶対映像見てほしい)、昔乗ってた古い車の話、次買う車ガソリン車かな~というような話などをしています。 そして話の中でS600と言っているのはS660が正しく、MRSと言っているのはMR2が正しく、キャデラックエスカレードの全長が4mくらいと言っているのは5.4mが正しいです!大変失礼いたしました。 Missing TLS intermediate certificates can create mysterious browser problems https://utcc.utoronto.ca/~cks/space/blog/web/TLSIntermediateCertHell URLおもしろい。依存関係のトラブルをDLL HELLと言うのと似てますね。 Preloading Intermediate CA Certificates into Firefox https://blog.mozilla.org/security/2020/11/13/preloading-intermediate-ca-certificates-into-firefox/ Civic Del Solのオープン屋根の開き方がやばい CR-Xデルソル 電動オープン
42: GoogleのCTログサーバのリタイアで一部のTLS接続がエラーになるケースがあった話とずっと乗り物の話
先日、計画作業として実施されたはずのGoogleのCTログサーバのリタイアの影響で、そのCTログサーバを参照するサーバ証明書がまだ生きていてCTログの検証が行えずTLS接続がエラーになる事象が起きていました。証明書にはCTログサーバ参照先が2つ以上書かれているはずですが、もうひとつのほうも落ちており、結局のところGoogle頼みだったんだね…というような話をしています。 雑談ではずっと乗り物(CB400SFのサンセット、トップガンマーベリック見た、Ninja H2かっこいい、SOAのキリトのバイク納得いかない、高速鉄道の世界最速のレギュレーション納得いかないなど)の話をしました。 • Google の CTログの撤去が、CTエラーになっていた件 • Temporary rollback of recent Google log retirements • https://groups.google.com/a/chromium.org/g/ct-policy/c/P3_hj9QmsLc/m/S9xohdAHAQAJ?pli=1 • Turning down non temporal Google CT Logs • https://groups.google.com/a/chromium.org/g/ct-policy/c/8mZ2ljdbQJo
41: Chrome Root Programがアナウンスされました
以前からやるよと言われていたChrome Root Programのポリシーが公開されました。CA証明書を5年ごとにリプレースしてほしいというところが目玉なのかな、といった話をしました。雑談では枝豆、マスターキートンの電子版の配信が始まった、推しって単純に好きっていう状態とは違うのか?それともほとんど同じなのか?とにかく飛行機乗りたいなどの話をしました。 Chrome Root Program (chromium.org) https://www.chromium.org/Home/chromium-security/root-ca-policy/ https://twitter.com/estark37/status/1533923475491958784
40: Black hat USAでRPKIについてのセッションがあるみたい
Black hat USAでRPKIについてのセッションがあるみたいです。RPKIについてはJPNICの方が説明してくださっているワークショップのビデオが公開されています。あとはPKI用語についての小話、CD買った話、ヘッドホン買った話などをしました。 ○ Black hat USA 2022 - Stalloris: RPKI Downgrade Attack ▪ https://www.blackhat.com/us-22/briefings/schedule/index.html#stalloris-rpki-downgrade-attack-27348 ○ JPNIC RPKIワークショップ ▪ RPKIワークショップ ▪ ○ Sectigoのポッドキャスト:PKI 用語の話 ▪ Root Causes 218: PKI Nomenclature Oddities | Sectigo® Official ○ ヘッドホン買った ▪ SONY ステレオヘッドホン MDR-7506 https://www.amazon.co.jp/dp/B000AJIF4E
39: Mozillaがサーバ証明書のCRLは失効理由入りで出してほしいって、あと私たちなまってますよねの話
Mozillaのルート証明書ストアポリシーが、サーバ証明書のCRLにはRFC 5280で決められている失効理由を表すReason Codeを入れることを求める内容に変更された話と、そのほか失効検証にまつわるあれこれを話しました。雑談では、私たちなまってますよね、技術書典で本を出すつもり、記念のマグカップを作ろうの話をしました。 Revocation Reason Codes for TLS Server Certificates - Mozilla Security Blog https://blog.mozilla.org/security/2022/05/16/revocation-reason-codes-for-tls-server-certificates/ MozillaのRevocation についてのWiki CA/Revocation Checking in Firefox - MozillaWiki 失効検証のFailure Rate https://telemetry.mozilla.org/new-pipeline/evo.html#!aggregates=0%2520bucket%2520percentage&cumulative=0&end_date=2019-12-02&include_spill=0&keys=!__none__!__none__&max_channel_version=beta%252F71&measure=CERT_VALIDATION_HTTP_REQUEST_RESULT&min_channel_version=beta%252F50&processType=*&product=Firefox&sanitize=1&sort_keys=submissions&start_date=2019-10-21&trim=1&use_submission_date=0 Mozilla CRLite Introducing CRLite: All of the Web PKI’s revocations, compressed - Mozilla Security Blog 藤井風さん さよならべいべ: Fujii Kaze - SAYONARA Baby at Okayama Civic Hall 何なんw: 藤井 風(Fujii Kaze) - “何なんw”(Nan-Nan) at 日本武道館(Nippon Budokan)
38: Alexa.comのリタイアとCTを監視して攻撃してくる手法の話
Alexa Top Millionを提供していたalexa.comが2022/5/1にリタイアした話、CTを監視して作りたてのWordPressを狙って攻撃してくる手法があるみたいという話をしました。雑談ではピザの話(続き)、家庭菜園何植える?、期待に応えるための接待サボテン、テキサスは2番目(アラスカの次)に大きくて日本の2倍、デラウェア州、本州一周6000kmの旅の話などをしました。 Alexa.com Mirror, Mirror, on the Wall, Who’s the Fairest (website) of Them all? https://www.domaintools.com/resources/blog/mirror-mirror-on-the-wall-whos-the-fairest-website-of-them-all CTからの攻撃について@matsuuさんのツイートスレッド https://twitter.com/matsuu/status/1522751803242455043?s=20&t=yRyJ5_doufEWESpXecld9Q WordPress sites getting hacked ‘within seconds’ of TLS certificates being issued https://portswigger.net/daily-swig/wordpress-sites-getting-hacked-within-seconds-of-tls-certificates-being-issued
37: SHA1のSunsetの話
SHA1のリタイアが進んでいます。2022/6/1からはOCSPレスポンスの署名にSHA1を利用できなくなる話、CABFのS/MIME WGでは証明書の項目を詰める議論がされてるみたいという話をしました。雑談では「令和の時代に○○を見るとは思わなかった~」を英語で表現する方法、カフェオレ作るとき氷・牛乳・コーヒーどの順番で入れる?の話などをしました。 Sunset for SHA1 Ballot SC53: Sunset for SHA-1 OCSP Signing | CAB Forum CABF S/MIME WG Meeting Minutes https://cabforum.org/2022/04/13/2022-04-13-minutes-of-the-s-mime-certificate-working-group/ https://cabforum.org/2022/03/30/2022-03-30-minutes-of-the-s-mime-certificate-working-group/
36: EUの適格Webサイト証明書導入とそれにまつわる懸念の話
EUで適格Webサイト証明書というものの導入が議論されており、有用性や適格証明書を発行する認証局の認定を巡ってラウザベンダーからはレターが出されるなど懸念が表明されている状況らしい…という話をしました。雑談パートでは庭に咲いた花、テキサスの夏、日本のコンビニ、アメリカのお菓子の話をしました。 適格Webサイト証明書 Qualified Website Authentication Certificates (QWACs) 参考サイト EU plans to mandate less secure certificates in browsers | Bulletproof TLS Newsletter | Feisty Duck If it looks like a duck, swims like a duck, and QWACs like a duck, then it's probably an EV Certificate (scotthelme.co.uk) Qualified website authentication certificate - Wikipedia Mozilla and the EFF publish letter about the danger of Article 45.2
35: 予備の証明書を発行しておく話、S/MIME証明書を個人で取るのが難しい話、土いじりの話
Cloudflareでは何らかの理由で現在利用中の鍵や証明書が使えなくなった場合に備えて、予備の鍵と証明書を発行しておく取り組みを始めるらしいという話、個人でS/MIME証明書を取得するには苦難が伴う話、ベジフル大百科というポッドキャストが面白い話、雑草絶対抜く器具や虫絶対殺すやつの話をしました。 Cloudflare Introducing: Backup Certificates (cloudflare.com) Ryan HurstさんのS/MIMEについてのツイート https://twitter.com/rmhrisk/status/1501635511097577472 雑草絶対抜くやつ https://www.gizmodo.jp/2022/01/248663-machi-ya-skidger-start.html
34: Amazon.co.jpと楽天がBIMI対応した話
Amazon.co.jpと楽天が送信するメールにBIMIでブランドロゴが表示される ようになってるという話と、ひとくちPKIが1周年を迎えましたという話をしました。 楽天サービスに対する不正対策-なりすまし・フィッシングメール対策- (rakuten.co.jp) BIMI Inspector - BIMI Group
33: HPKP廃止の話、WebPKI(EV,OV)でのOUフィールド廃止の話と、冬眠とアニメ令和リファインの話
HTTP Public Key pinning(HPKP)廃止のタイムラインにつて Remove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com) https://groups.google.com/a/chromium.org/g/blink-dev/c/he9tr7p3rZ8/m/eNMwKPmUBAAJ > Finally, remove support for built-in PKP (“static pins”) at a point in the future when Chrome requires Certificate Transparency for all publicly-trusted certificates (not just newly-issued publicly-trusted certificates). (We don’t yet know when this will be.) →Preloaded(Static/Built-in) Public Key pinnning は今も廃止されていない? 67で廃止予定だった(2017年10月に発表、2018年5月に安定版配信)が開発者コンソールにメッセージが出るようになり、72(2019年1月)で完全に廃止になったように見られる 779166 - Deprecate And Remove header-based HTTP Public Key Pinning (HPKP) - chromium OUフィールドが廃止される話 Ballot SC47v2: Sunset subject:organizationalUnitName | CAB Forum Due to New Rule, OU Field to Be Deprecated in Sectigo Issued Certificates Starting July 1st 2022 | Sectigo® Official アニメの令和リファイン ダイの大冒険狂おしいほどいい https://dq-dai.com/ うる星やつら楽しみ https://uy-allstars.com/
32: HTTP Public Key pinnning、OCSP Staplingの話とお正月の話
HTTP Public Key pinnning、OCSP Staplingの話、WebPKIの証明書のブラウザでの失効検証の話と、おもちとうどんの話、御座候の話、たこあげの話をしました。 HTTP Public Key Pinning "HPKP" | Can I use... Support tables for HTML5, CSS3, etc Remove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com)→話の中でぼんやりしたことを申し上げておりましたが、HPKPはChromeでは2019年1月に、Firefoxでは2020年1月にRemoveされていました。 自堕落な技術者の日記 : HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える - livedoor Blog(ブログ) OCSP Stapling の話 ⚙ D133706 Bug 966856 - mozilla::pkix: support SHA-2 hashes in CertIDs in OCSP responses r?jschanck!,djackson! MicrosoftのWebサイトを開けない不具合を修正した「Firefox 95.0.1」が公開 - 窓の杜 (impress.co.jp) Bullet proof TLS and PKI v2 Bulletproof SSL and TLS | Feisty Duck
31: 「リストオブトラストリスト」と健康の話
PKIコンソーシアムがトラストリストのリスト(リストオブトラストリスト)を作っていますよ、の話と、健康のためにどのようにして運動習慣を獲得するかについて話しました。 ・Creating a global List of Trust Lists | PKI Consortium https://pkic.org/2021/11/24/creating-a-global-list-of-trust-lists/
こちらもおすすめ
Yokohama North AM
横浜ノースAMは、ウェブ系エンジニアがテック系のキーワードをネタにして雑談をするポッドキャストです。 ホスト役は自称 PHPer のhanhan1978です。 https://listen.style/p/yokohamanortham
SDGs NEWS from Japan in English / Japan 2 Earth delivers stories and insights on improving the global environment and achieving the SDGs from Japan.
Our Purpose Japan 2 Earth delivers stories and insights that highlight contributions by Japanese communities and companies to improving the global environment and achieving the SDGs. Twitterhttps://twitter.com/japan_2_earth WEBhttps://featured.japan-forward.com/japan2earth/ Managing EditorSusan Yoshimura A US citizen based in Asia for over 20 years, Susan has a postgraduate degree in Environmental Education. She is a former environmental activist and media relations coordinator at Greenpeace Japan and research programme assistant at United Nations University, Tokyo. She has 15+ years experience in Japanese-to-English translation and editing in the environmental management field. Our Focus Areas [ Japanese Technologies ]Showcasing innovative technologies, from recycling and waste to transportation and beyond [ Earth's Diversity ]Drawing attention to biodiversity, and efforts to protect our oceans, skies, forests and waters [ Climate Change ]Delivering information on impacts, mitigation, adaptation and what we can do [ Clean Energy ]Exploring options, from renewables and clean coal to nuclear-to-hydrogen and biomass, along with the constraints, byproducts and trade-offs involved [ Op Ed ]Bringing you leading ideas, dialogue and hot debate, from all sides of the issues Tokyo Sankei Bldg., Otemachi 1-7-2, Chiyoda-ku, Tokyo, Japan 100-0004 E-mail: japan2earth@japan-forward.comPhone: +81-(0)3-3275-8511
台湾で中国語と日本語の言語交換♪
台湾人の伶伶と日本人の朋(TOMO)で、脚本無しの台日お喋りラジオをPodcastやSpotifyにて配信中! 【毎週月曜と木曜の朝7時に更新中!】 【每週一和週四早上6點更新中!】 【日本語】 ・自然な中国語(台湾華語)と日本語の会話を聞いて発音や単語、文法が勉強できる! ・主に日本と台湾の文化の違いや歴史について話してます。 ・リスニングや聞き流しの言語学習にピッタリ! ・教科書に載ってない自然な言葉を勉強したい方向けです! ・特に中級者や上級者の方におすすめです。 【中文】 ・日本人和台灣人沒有腳本沒有大綱的日常對話台日Radio! ・用日文和中文(台灣華語)聊聊日本和台灣的文化差異和有趣的小歷史 ・透過日常閒聊學習語言、單字、文法、練習聽力(和吐槽) ・學習課本沒有教的自然語! ・特別推薦給中級、上級的學習者! 【English】 ・No draft, no script, just a casual chat with Japanese and Taiwanese ・The culture difference and some fun history talk ・Let's learn those slangs just like natives! ・Language exchange between Japanese and Taiwanese. === LINK === ❤️【朋さんへの差し入れリスト / Tomo-san's Wishlist】 https://www.amazon.jp/hz/wishlist/ls/25S03CGPV9AR2?ref_=wl_share ❤️【伶伶さんへの差し入れリスト / Ling-ling's Wishlist】 https://www.amazon.jp/hz/wishlist/ls/S76MKLMYE6ML?ref_=wl_share 🎬 YouTube (字幕有り) 爽語NEWSのYoutube言語交換Ch. https://www.youtube.com/channel/UC6hVzNSCTHpGev8VNraOUng 💰月額支援FANBOX https://shuangnews.fanbox.cc/ ❤️インスタ/IG 爽語NEWS https://www.instagram.com/shuang_news/ ❤️Twitter 爽語NEWS https://twitter.com/suangyu_news 朋(TOMO) https://twitter.com/tomo_poppo 📮お問い合わせ(合作・聯繫) newsshuang@gmail.com ⭐️みんなも聞きたいテーマがあったらコメント欄に書いてね! チャンネル登録、高評価を押してくれると嬉しいです! 有想聽的主題歡迎留言給我們,也請給我們5顆星星! -- Hosting provided by SoundOn
London Tech Talk
ロンドン在住の Ken とベルリン在住の Kaz で提供する、海外テック系 Podcast です。最新の技術ネタや海外転職はもちろん、子育て・教育など、ヨーロッパでの現地生活について喋ります。
Ossan.fm
京都在住のくりす(@chris4403)とながやま(@nagayama)が、日常の出来事や、おすすめしたい本や映画をゆるゆるとお届けする雑談系ポッドキャストです。
engineer meeting podcast
インターネット系のエンジニア3名がカジュアルに最近の話をする番組です