ひとくちPKI

ep70でも話した、WebPKIの証明書の有効期間を最長47日にしたい件について、CABFで投票が行われ、可決された件について話しました。他、CABFのF2Fミーティングが2025年3月に日本でホストされた話、ルート証明書登録プログラム(CA Certificate Root Program)のBugzillaでSectigoがDigiCertに法的に脅されていると主張した件についても少しだけ話しました。雑談では、ゆりかとひとけー一緒に韓国旅行行ってきた、ひとけーはシンガポールでBlack Hat Asiaにも行ってきた、という話をしました。 Apple Clint Wisonさん提案のSC-081 SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods by clintwilson · Pull Request #553 · cabforum/servercert · GitHub CA/Browser Forum、東京でオフラインミーティングを開催【セコム】DigiCert: Threat of legal action to stifle Bugzilla discourseBlack Hat Asia 2025

ブラジルの政府系CAである「ICP-Brasil」の中間CAであるCertisign ( https://certisign.com.br/ )がgoogle.comをSubjectに持つTLS Webserver Authentication証明書を発行していたことがCTのモニタリングによって見つかった件と、ep70で話したLet's EncryptがOCSPやめる件についてサポート終了の正確なタイムラインが出た件について話しました。雑談ではひとけーのノートパソコンが死にそうで音がガビガビな話、2000年の年越しどうだった、2000円札見たことない、よいお年を！などの話をしました。 • Google.com の証明書がICP-Brasil（Autoridade Certificadora Raiz Brasileira v10）によって不正に発行された件 ○ 1934361 - ICP-Brasil: Mis-issued certificate ○ crt.sh | 421329f0dc2f683d6e96c1b5b310974d0997ad984ef69120f55372b4f48e1037 • ep70 で話したLet's EncryptがOCSPやめるってよのその後の話：Ending OCSP Support in 2025 - Let's Encrypt

Let's EncryptがOCSPでの失効情報の提供をやめることを発表しました。CRLが大変だから始まったOCSPがどうやら役目を終えそうなムードです。また、CABFでWebPKIのTLS証明書の有効期間を45日にしたいという議題が提起されました。採決はまだですが、短くしたいムードがありますねといった話をしています。雑談では、子どものころ「どすこい」の言い方を練習しなかった？、らんま1/2の新作、U-NEXTの作品収集にかける情熱がすごいなどの話をして言います。 Intent to End OCSP Service https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls/ SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods https://github.com/cabforum/servercert/pull/553/files Moving Forward, Together https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/

SSL.comからサブCAの運用に関するベストプラクティスについてのペーパーが発行されました。ep58,59で話した、インシデントの後に各ルートプログラムからリムーブされたe-Tugra CAがSSL.comのリセラーであったことが関連していると思われます。 また、Entrustが2024年3月～5月に22件のインシデントを起こしており、その後の対応が良くなかったため、MozillaのルートプログラムからEntrustに対して根本的な対処について詳細な提案が求められている件について話しました。 雑談ではルービックキュープ上達した話、ぶらさがり1秒と23秒の話、ジムに行くために自分を律する話、どすこいすしずもうの話、ちょっとブームがすぎたものを好きになると、グッズ集めが難しい話などをしました。 SSL.com: Lessons Learned, Security Implications and Good Practices for Branded SubCAs https://www.ssl.com/article/lessons-learned-security-implications-and-good-practices-for-branded-subcas/ 関連するBugzillaのスレッド https://bugzilla.mozilla.org/show_bug.cgi?id=1867851 Recent Entrust Compliance Incidents (google.com) https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/LhTIUMFGHNw CA/Entrust Issues – MozillaWiki https://wiki.mozilla.org/CA/Entrust_Issues 「どすこいすしずもう」公式チャンネル https://www.youtube.com/channel/UCdfXACHBNiuVR8f4PRwDrEA

Let's Encryptの中間CAが新しい構成になる話をしました。なんとその数RSA5つ、ECDSA5つの計10個。それぞれで2つが稼働、3つがバックアップという構成をローテーションするそうです。以前あったHTTP Public Key Pinning (HPKP)をdiscouragesする意図もあるみたい。雑談では成果物、編み物、ルービックキューブ、ぶら下がり健康器の話をしました。 New Intermediate Certificates https://letsencrypt.org/2024/03/19/new-intermediate-certificates

冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogleTrustedServiceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。 冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version 1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogle Trusted Serviceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。 • Google Trust Services のインシデントレポート ○ 1876593 - Google Trust Services: Failure to properly validate IP address (mozilla.org) https://bugzilla.mozilla.org/show_bug.cgi?id=1876593 • Chrome Root Programの新バージョンでてました。 ○ Chrome Root Program Policy, Version 1.5 ○ Last updated: 2024-01-16 ○ https://www.chromium.org/Home/chromium-security/root-ca-policy/ ○ Chrome Root Program Policy Version 1.5 (TRACKED CHANGES).docx - Google ドキュメント https://docs.google.com/document/d/1soL-ZFOp8LeUwvQjKlacf2GWuvjYJ1A7/edit#heading=h.gjdgxs • 三都屋のお餅 ○ https://kuromon-mitoya.com/product_list/mochi/

技術書典15とInternet Week 2023に出る話、WebPKIのシェアでLet’s Encryptが過半数を超えた話をしました。雑談では、100kmライド走った話、ムール貝のワイン蒸しの話、サブウェイからターキーブレストがなくなった話をしました。 WebPKIのシェア https://twitter.com/rmhrisk/status/1708144837252567238

Let's Encryptでシリアルナンバーが重複する異なる証明書が発行されたインシデントの報告があり、その発見から対応までのタイムラインがすごいという話と、来年2024年9月からLEのトラストチェーンからクロスサイン証明書が減って短くなるという話をしました。技術書典15に出ます！よろしくお願いします！ ・Let's Encrypt で6/15に発生していたインシデントの話 1838667 - Let's Encrypt: Duplicate Serial Numbers (mozilla.org) ・サービスダウンを発見したSSLmateの人の総括ブログ：The Story Behind Last Week's Let's Encrypt Downtime (agwa.name) ・LEが実施したこの変更に伴うサービスダウンだった： Small change to end entity certificates: CPS URL and OID will not be included from June 15 - API Announcements - Let's Encrypt Community Support (letsencrypt.org)

トルコのCA、E-Tugraから2022年11月にインシデントがレポートされてから、今も引き続きそのインシデントについて議論が行われています。 Public Trusted CAとしてRootプログラムに登録されているCAには、規約の遵守が求められることに加えてインターネットコミュニティからの厳しい目が向けられている、というような話をしました。雑談では、技術書典14でJournal2が出た話(無料です！)、トルコやメキシコに行きたい話をしました。 • E-Tugra: Incident Report (Security Issues) ○ https://bugzilla.mozilla.org/show_bug.cgi?id=1801345 • SSL.com: e-Tugra Security Issues ○ https://bugzilla.mozilla.org/show_bug.cgi?id=1832570 • ひとくちPKI Journal 2 (技術書典14) ○ https://techbookfest.org/product/q4FqjLAxr9rfU9EMQX7wVG

30年の歴史を持つらしいHTTPSの鍵マークが、今年の秋ごろからChromeでは「チューンアイコン」へ変更されることについて話しました。雑談では、自転車に乗ると楽しいという話をしました。 https://blog.chromium.org/2023/05/an-update-on-lock-icon.html https://scotthelme.co.uk/goodbye-old-friend/

2023年2月にCT v2からv3への移行が実施後に切り戻された話、コード署名証明書でもCTやってくれないかなの話、TLSハンドシェイクの情報を使ってサイバー攻撃のインフラを判別するJA3という手法の紹介と、ちょっとZT Browserの話をしました。雑談ではひとけーがNIST SP 800-63-4の翻訳に参加した話、漫画たくさん読んだ話、世紀末系の話が怖い話をしました。 • どうやら、(予定されていた) certificate transparency (CT) v3 への移行後、対応してないためにCTエラーがでているアプリが多数出ている模様👀 ○ https://twitter.com/EurekaBerry/status/1626048541906059265 • JA3 初めて知った ○ https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/ ○ https://engineering.salesforce.com/open-sourcing-ja3-92c9e53c3c41/ • NIST SP 800-63 Digital Identity Guidelines Revision 4 (翻訳版) ○ https://openid-foundation-japan.github.io/800-63-4/index.ja.html ○ ひとけーが翻訳に参加しました • コミックデイズでいくつかのイブニング作品の読み放題実施中です ○ https://comic-days.com/blog/entry/evening_0festival

2022年12月に収録したものをやっと配信できました！Let's Encryptの運営元として知られるINTERNET SECURITY RESEARCH GROUP(ISRG)の2022年のアニュアルレポートについて話しました。Let's Encryptについはもちろん、データ収集時のプライバシーの尊重を勧める「Divvi Up」、インターネットの基幹システムをメモリセーフティなコードにしていこうというイニシアチブである「Prossimo」について紹介されていました。雑談では焼き栗にしたらうまくいった話、手打ちうどん・そばの話をしました。 Let’s build a better Internet https://www.abetterinternet.org/documents/2022-ISRG-Annual-Report.pdf Divvi Up https://divviup.org/ Prossimo https://www.memorysafety.org/about/

2022年9月下旬(収録当時)、ついにChrome Root Programがローンチされた話、ルートプログラムだけでなく証明書検証のプロセス自体もChrome Cert Verifierという独自のものを使うようになる話、証明書のパス構築と証明書検証において歴史的な変化となりそうですよね…という話をしています。雑談では、技術書典13の本にも登場したゆりかさんのピーマンの話のその後、万願寺とうがらしはテキサスのとうがらし(正確にはニューメキシコで採れてテキサスでも流通しているHatch Chile)にそっくり、お気に入りの梨(新甘泉・荒尾梨)などの話をしました。※ひとけーがモバイル環境で収録したためひとけーだけ音がよくないです、すみません！ Announcing the Launch of the Chrome Root Program https://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.html CA/B Forumで紹介された資料 https://drive.google.com/file/d/1BksDjW0yCcgWiEZ5A5R_a_GHdUYPnCVc/view Frequently Asked Questions https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md Adam Langleyさんのブログ ImperialViolet https://www.imperialviolet.org/