ポッドキャスト Ca

ZT Browser が CA/B Forum の Server Cert WG に参加申請を出していて、Ballot が行われたけど否決されてしまった様子の話をしました。雑談では、手続きのためにヒューストンに行ったけど珍道中になってしまった話、学士の学位がない人は学位授与機構から学位をもらおう！という話をしました。 [Servercert-wg] Discussion period begins: Ballot SC60: Membership of ZT Browser (cabforum.org) https://zotrus.com/en/blog/apple-google-mozilla-opera-what-are-you-afraid-of.html 単位積み上げ型の学士の学位…

2022年12月に収録したものをやっと配信できました！Let's Encryptの運営元として知られるINTERNET SECURITY RESEARCH GROUP(ISRG)の2022年のアニュアルレポートについて話しました。Let's Encryptについはもちろん、データ収集時のプライバシーの尊重を勧める「Divvi Up」、インターネットの基幹システムをメモリセーフティなコードにしていこうというイニシアチブである「Prossimo」について紹介されていました。雑談では焼き栗にしたらうまくいった話、手打ちうどん・そばの話をしました。 Let’s build a better Internet https://www.abetterinternet.org/documents/2022…

2022年11月に収録した回をようやく配信できました！お待たせいたしました。 Twitter.comの証明書の有効期限が切れそうでハラハラした話、ブラジルの国が運営しているWebPKIのCA(SERPRO's CA)を新しくルートプログラムに登録したいという議題が6週間のオープンディスカッション期間に入っていた話(のちに2023年3月まで議論がサスペンドされました)、PKI関連の書籍が新しく出ていた話をしました。雑談でははてしない物語、揺り戻しの少ない休暇の取り方について話しました。 Twitter.com Public Discussion of SERPRO's CA Inclusion Request https://groups.google.com/a/ccadb.org/g/pu…

2022年9月下旬(収録当時)、ついにChrome Root Programがローンチされた話、ルートプログラムだけでなく証明書検証のプロセス自体もChrome Cert Verifierという独自のものを使うようになる話、証明書のパス構築と証明書検証において歴史的な変化となりそうですよね…という話をしています。雑談では、技術書典13の本にも登場したゆりかさんのピーマンの話のその後、万願寺とうがらしはテキサスのとうがらし(正確にはニューメキシコで採れてテキサスでも流通しているHatch Chile)にそっくり、お気に入りの梨(新甘泉・荒尾梨)などの話をしました。※ひとけーがモバイル環境で収録したためひとけーだけ音がよくないです、すみません！ Announcing the Launch of …

ご無沙汰しております！休暇中の設備で録音したためひとけーだけ音がよくないです、すみません。IIJ Engineers Blogで2022年6月に発行されたRFC9110(HTTP Semantics)でHTTPSでの証明書検証においてサーバのアイデンティティの確認にCommon Name(CN)項目は使えません(CN-ID MUST NOT be used by clients)と決められた話をしています。すでにChromeでは2017年くらいからSubject Alt Name(SAN)を使うような動作になっています。 雑談ではゆりかさんが素数ゼミの本を読んだ話、ひとけーが家の窓にできた蜂の巣を観察している話をしました。 HTTPS 証明書の Common Name の検証がしれっと禁止さ…

BIMIの利用が広がっているようです。Yahoo! Japanが送信メールでBIMIに対応したとのニュースがありました。Tech blogにはBIMIの説明やトラブルシュートの様子が記載されており参考になりました。またLet's Encryptではいくつかのルートプログラムの要請により今まで発行していなかったCRLの発行を始めるとのこと。WebPKIの失効検証が大きく変化していますねという話をしました。 また、技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました。 技術書典13 オンラインマーケット開催期間の2022/09/10～2022/09/25に、以下のURLから無料で入手できます。PKIの話と雑談という構成でかなりポッドキャストを再現できたと思…

OCSPが持つプライバシーへの懸念を理由の一つとして、Chrome106からはDVやOV証明書がすでにそうなっているようにEV証明書でもOSCPでの証明書失効検証を行わなくなるのとのこと。Webサーバー管理者から見るとOCSP staplingをやったほうがいいケースがありそうという話をしました。 ほか、OCSPのRFCって史上最悪級に読みにくいらしい、湖でカメを助けた、夏野菜の育成に失敗したことなどを話しました。 • Revocation checking for EV server certificates in Chrome (google.com) https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/S6A1…

PKIコンソーシアムにPKI Maturity Model Working Groupというものができ、PKIを運用している組織の成熟度を評価するモデルを整えようという活動が行われているようです。使いやすいモデルを使って自分たちの組織の成熟度評価ができるようになるといいですねという話をしています。 雑談では日本のナスがおいしいアメリカの大きい唐辛子がおいしいなど夏野菜の話、フジロックの話からコロナ時代がもたらした音楽ライブの楽しみ方の変化などについて話しました。 What is the PKI Maturity Model (PKIMM) and how can you contribute? https://pkic.org/2022/07/11/what-is-the-pki-matur…

Certificate Transparencyのデータを使って大量の証明書からRSA鍵を取り出して調べたら因数が重複しているものが見つかったという研究について話しました。2022年5月の時点で1.59億個の鍵を調査することができ、問題があった鍵は8個見つかったのだとか。案外少ないなと思ったし、以前より良くなっている気がする…というような話をしています。 雑談では夏は暑い、JRの青春18きっぷで東京から博多まで行くときのお気に入りのルーティーン、九州列車旅の話をしました。 Finding shared RSA factors in the Certificate Transparency logs https://bora.uib.no/bora-xmlui/bitstream/handle…

IPhoneとMacOSのメールクライアントでBIMIのサポートが始まるようです。また実際BIMI対応するにあたってなかなか大変だったお話がJANOG49であったようでした！ 雑談では塩味の食べ物、バイク、夏の活動限界、歴史勉強したけど覚えてない、大阪の古墳群世界遺産になったけどそんな雰囲気全然ないなどの話をしました。 • VMC Adoption is Growing with Apple Support | DigiCert : iPhones (iOS 16) (MacOS Ventura) This fall • https://www.digicert.com/blog/vmc-adoption-growing-with-apple-support • Email Client M…

Sysadminの立場からTLS接続エラーのトラブルシュートをして面倒だった話をChris Siebenmannさんがブログに書かれており、結果的にWebサーバが中間CA証明書を送っていなかったという結末だったのですが、その話の中でFirefoxは中間CA証明書をプリロードしていたり、ChromeやEdgeは中間CA証明書をキャッシュしたりするんだって～えっ証明書の中に入っている機関情報アクセス(AIA)は見られないの！？知らなかった～！というような話をしました。 雑談ではずっと車の話をしています。旅先でCivic Del Solという珍しい車を見たがRecognizeできず焦った(経験だけで足りるということはなく、体系的な学習が必要なのだ)話やそのシビックデルソルの屋根の開き方がやばい話(…

先日、計画作業として実施されたはずのGoogleのCTログサーバのリタイアの影響で、そのCTログサーバを参照するサーバ証明書がまだ生きていてCTログの検証が行えずTLS接続がエラーになる事象が起きていました。証明書にはCTログサーバ参照先が2つ以上書かれているはずですが、もうひとつのほうも落ちており、結局のところGoogle頼みだったんだね…というような話をしています。 雑談ではずっと乗り物(CB400SFのサンセット、トップガンマーベリック見た、Ninja H2かっこいい、SOAのキリトのバイク納得いかない、高速鉄道の世界最速のレギュレーション納得いかないなど)の話をしました。 • Google の CTログの撤去が、CTエラーになっていた件　 • Temporary rollback o…

以前からやるよと言われていたChrome Root Programのポリシーが公開されました。CA証明書を5年ごとにリプレースしてほしいというところが目玉なのかな、といった話をしました。雑談では枝豆、マスターキートンの電子版の配信が始まった、推しって単純に好きっていう状態とは違うのか？それともほとんど同じなのか？とにかく飛行機乗りたいなどの話をしました。 Chrome Root Program (chromium.org) https://www.chromium.org/Home/chromium-security/root-ca-policy/ https://twitter.com/estark37/status/1533923475491958784…

Black hat USAでRPKIについてのセッションがあるみたいです。RPKIについてはJPNICの方が説明してくださっているワークショップのビデオが公開されています。あとはPKI用語についての小話、CD買った話、ヘッドホン買った話などをしました。 ○ Black hat USA 2022 - Stalloris: RPKI Downgrade Attack ▪ https://www.blackhat.com/us-22/briefings/schedule/index.html#stalloris-rpki-downgrade-attack-27348 ○ JPNIC RPKIワークショップ ▪ RPKIワークショップ ▪ ○ Sectigoのポッドキャスト：PKI 用語の話 ▪ R…

Mozillaのルート証明書ストアポリシーが、サーバ証明書のCRLにはRFC 5280で決められている失効理由を表すReason Codeを入れることを求める内容に変更された話と、そのほか失効検証にまつわるあれこれを話しました。雑談では、私たちなまってますよね、技術書典で本を出すつもり、記念のマグカップを作ろうの話をしました。 Revocation Reason Codes for TLS Server Certificates - Mozilla Security Blog https://blog.mozilla.org/security/2022/05/16/revocation-reason-codes-for-tls-server-certificates/ MozillaのRev…

Alexa Top Millionを提供していたalexa.comが2022/5/1にリタイアした話、CTを監視して作りたてのWordPressを狙って攻撃してくる手法があるみたいという話をしました。雑談ではピザの話（続き）、家庭菜園何植える？、期待に応えるための接待サボテン、テキサスは2番目(アラスカの次)に大きくて日本の2倍、デラウェア州、本州一周6000kmの旅の話などをしました。 Alexa.com Mirror, Mirror, on the Wall, Who’s the Fairest (website) of Them all? https://www.domaintools.com/resources/blog/mirror-mirror-on-the-wall-whos-…

SHA1のリタイアが進んでいます。2022/6/1からはOCSPレスポンスの署名にSHA1を利用できなくなる話、CABFのS/MIME WGでは証明書の項目を詰める議論がされてるみたいという話をしました。雑談では「令和の時代に○○を見るとは思わなかった～」を英語で表現する方法、カフェオレ作るとき氷・牛乳・コーヒーどの順番で入れる？の話などをしました。 Sunset for SHA1 Ballot SC53: Sunset for SHA-1 OCSP Signing | CAB Forum CABF S/MIME WG Meeting Minutes https://cabforum.org/2022/04/13/2022-04-13-minutes-of-the-s-mime-certif…

EUで適格Webサイト証明書というものの導入が議論されており、有用性や適格証明書を発行する認証局の認定を巡ってラウザベンダーからはレターが出されるなど懸念が表明されている状況らしい…という話をしました。雑談パートでは庭に咲いた花、テキサスの夏、日本のコンビニ、アメリカのお菓子の話をしました。 適格Webサイト証明書 Qualified Website Authentication Certificates (QWACs) 参考サイト EU plans to mandate less secure certificates in browsers | Bulletproof TLS Newsletter | Feisty Duck If it looks like a duck, swims …

Cloudflareでは何らかの理由で現在利用中の鍵や証明書が使えなくなった場合に備えて、予備の鍵と証明書を発行しておく取り組みを始めるらしいという話、個人でS/MIME証明書を取得するには苦難が伴う話、ベジフル大百科というポッドキャストが面白い話、雑草絶対抜く器具や虫絶対殺すやつの話をしました。 Cloudflare Introducing: Backup Certificates (cloudflare.com) Ryan HurstさんのS/MIMEについてのツイート https://twitter.com/rmhrisk/status/1501635511097577472 雑草絶対抜くやつ https://www.gizmodo.jp/2022/01/248663-machi-ya…

Amazon.co.jpと楽天が送信するメールにBIMIでブランドロゴが表示される ようになってるという話と、ひとくちPKIが1周年を迎えましたという話をしました。 楽天サービスに対する不正対策-なりすまし・フィッシングメール対策- (rakuten.co.jp) BIMI Inspector - BIMI Group

HTTP Public Key pinning(HPKP)廃止のタイムラインにつて Remove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com) https://groups.google.com/a/chromium.org/g/blink-dev/c/he9tr7p3rZ8/m/eNMwKPmUBAAJ > Finally, remove support for built-in PKP (“static pins”) at a point in the future when Chrome requires Certificate Transparency for all publicl…

HTTP Public Key pinnning、OCSP Staplingの話、WebPKIの証明書のブラウザでの失効検証の話と、おもちとうどんの話、御座候の話、たこあげの話をしました。 HTTP Public Key Pinning "HPKP" | Can I use... Support tables for HTML5, CSS3, etc Remove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com)→話の中でぼんやりしたことを申し上げておりましたが、HPKPはChromeでは2019年1月に、Firefoxでは2020年1月にRemoveされていました。 自堕落な技術者の日記 : …

PKIコンソーシアムがトラストリストのリスト(リストオブトラストリスト)を作っていますよ、の話と、健康のためにどのようにして運動習慣を獲得するかについて話しました。 ・Creating a global List of Trust Lists | PKI Consortium https://pkic.org/2021/11/24/creating-a-global-list-of-trust-lists/

開催中のInternet WeekでPKI関連トピックもいくつかあるよという紹介と、関東平野が平べったい、動物のお医者さん、新幹線と飛行機の思い出、温泉、まだ行ったことない行ってみたいところの話などをしました。 ・プログラム - IW2021 (nic.ad.jp) 　・C9 インターネットルーティングの新常識 RPKIをはじめよう！ 　・C19 電子契約、公開鍵基盤（PKI）、証明書、リーガルテックの基盤技術 　・C24 きみが思うより側にある国際標準

フィッシング対策セミナーで聞いた話の話と反省会、あとCT(Certificate Transparency)と新しく発表する物事の相性があんまり良くないなという話、サマータイムが終わった話とOutlookのカレンダーにタイムゾーンが3つ出せるようになった話などをしました。 フィッシング対策協議会 フィッシング対策セミナー 2021（オンライン）開催のご案内 (antiphishing.jp) https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html 商標とCT：Meta.com https://crt.sh/?q=meta.com Meta.comの証明書について、発表のタイミングではSubject DNに「CN…

11/5(金)にフィッシング対策セミナーでお話しします。PKIとフィッシングの関りについて、昔の話も掘り起こしつつ今までの話と、WebPKI、S/MIME、BIMIなどについて今やこれからのお話をします。お時間合いましたらぜひご参加ください！ ほか、11/11(木)～12(金)で開催される「IAjapan 第21回 迷惑メール対策カンファレンス」がおもしろそうという話、Bulletproof TLS Newsletter に載ってるPKI Jobsが面白い話や、PKIやテクノロジーにまつわる冗談の話をちょっとだけしました。 フィッシング対策セミナー 2021（お申し込みもこちらから） https://www.antiphishing.jp/news/event/antiphishing_se…

デバイスの信頼性検証(attestation)のための証明書の有効期限切れで一部のモバイル端末が利用できなくなった話、LEの翻訳ちょっとずつやってる話、証明書をECDSAにするとやっぱり速いんだの話、CA/Browserフォーラム勉強会に参加してすごくよかった話と、京極夏彦先生の本が分厚い話、まだ写メって言う？という話などをしました。 SafetyNet Attestationで障害が発生していた話 MDMで管理された3万台超の端末で意図せず発生した強制ロックについてまとめてみた - piyolog (hatenadiary.jp) Outage: The SafetyNet Attestation API certificate expired (google.com) SafetyNet…

LEの古いルート認証局の自己署名証明書満了後、新しいCRLが発行されていたので鍵は破壊されていなそうだという話、JPNIC主催のCA/Browserフォーラム勉強会の話、Appleのルート証明書プログラムの話、NetflixがTLSのテストスイート「BetterTLS」をアップグレードした話をしました。 また、何かをやったあとに良いレガシーを残す難しさ(木村さんが通ったあとには何も残ってないですね)の話や、栗の渋皮をむくのが難しい話などもしました。 ・@kjurさんのツイート https://twitter.com/kjur/status/1448552494489997314 ・WebのPKIに関するガイドラインを策定しているCA/Browserフォーラムに おける最新動向と国際的なトラス…

古いOpenSSL(1.0系)のパス構築が突き抜けて有効期限切れのルートにつながってしまいExpireのエラーになってしまう事象は以前にも確認されていたという話、SmartHRの方が書かれたBIMIはじめましたブログがすばらしかった話、通販で新潟県のあれこれを楽しんだ話、秋の味覚の話などをしました。 ・Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 https://jovi0608.hatenablog.com/entry/20141222/1419265270 ・BIMI SmartHR SmartHR、BIMIはじめました - SmartHR Tech Blog https://tech.smarthr.jp/entry/2021/09/14/14440…

9/30にいよいよ切れましたね、どれが切れたんだっけ？、いろいろ影響があったみたい、という話、スライサーで指を切った話、歯列矯正の話、運動習慣やスポーツジムの話などをしました。 ・Let's EncryptのルートCA証明書期限切れ、多数のサイトで問題発生 - ZDNet Japan https://japan.zdnet.com/article/35177496/

出張版のお知らせと、Let's Encryptの古いルートCA証明書が9月30日に有効期限を迎える話、ゲームが好きな話、庭いじりの話、芝刈りゲームの話などをしました。 [お知らせ] ひとくちPKI の出張版が予定されています。興味のある方はぜひご登録ください。 ・情報セキュリティワークショップ in 越後湯沢 車座(オンライン) 10月8日（金）18:00～20:00 プログラム | 情報セキュリティワークショップin越後湯沢2021 (anisec.jp) ———————————————————————— ひとくちPKI ～越後湯沢WS 車座出張回～ ———————————————————————— Public Key Infrastructure という名の通り社会基盤として活用され、…

Lをやめたいと思っても、一意性が保てなくなって案外難しいかもな話、EV証明書のフレンドリ名って昔日本語で出てた気がする話、EVコードサイニング証明書の話、BIMIがひとけーのGmailモバイルアプリにも来た話、BIMIロゴがGoogleアカウントのプロファイルに設定しているアイコンと同じように見えることがちょっと不安な話、CA Security Council (CASC)がPKI Consortiumになった話、クライド型署名の話などをしました。 雑談ではクラウド型署名を体験した話、紙にペンでサインするやつをウェットサインと呼ぶ話、印刷することハードコピーと呼ぶ話、棚を増やすと物が増える話などをしました。 日本語と証明書 証明書情報の日本語表記｜SSL/TLS サーバー証明書 SureSe…

オランダ政府のCAがWebサイト向けにEV証明書を出していたのをやめる話、GmailのWebブラウザ版でひとけーのアカウントでもBIMIが始まった話、あとエヴァンゲリオンの話をしました。 Dutch government to stop issuing TLS certs because of ever-complicated standards https://therecord.media/dutch-government-to-stop-issuing-tls-certs-because-of-ever-complicated-standards/ Advancing email security for Gmail and beyond with BIMI https://cloud…

Sigstoreで利用する証明書を発行する認証局をMozillaのルート証明書登録プログラムに乗せたいという話から、WebPKIってそういえば何？という話と、SectigoがSubject DNの項目にLocality(L=)を入れるのをやめたいと考えていることについて話しました。また、英会話バッドノウハウ、虫刺されについても話しました。 WebPKIってそういえば何： https://twitter.com/sleevi_/status/1420805874180837383 Web PKI とは： Web PKI OPS (wpkops) - (ietf.org) https://datatracker.ietf.org/wg/wpkops/about/ Sigstore https:/…

IETFでドキュメントサイニングのExtended Key Usageを作ろうという議論が行われている話、IETFって議決を取るときハミングで決めるらしい話、TLS証明書チェッカーの紹介について話しました。 ほか、自由に外出できるようになったら行ってみたいところなどについて話しました。 ・IETF111 - LAMPS https://datatracker.ietf.org/meeting/111/materials/slides-111-lamps-chair-slides-02.pdf?fbclid=IwAR2Y8dkBj9_ZMGL2fUFcJ76cH9DgCja_vDEXxv6mKLxU9akZL88fYBq1GZE ・General Purpose Extended Key Us…

BIMIについて、大手メールサービスプロバイダのローンチ状況やVMC証明書の中身の話、送信元ドメイン認証のニルヴァーナにたどり着けるか？という話をしました。 ほか、蚊取り線香、蝉、ゲームで運動、怖い映画の話などもしました。 BIMI Inspector | BIMI Group Supporting Documents | BIMI Group Verified Mark Certificates (VMC) and BIMI | BIMI Group ブランドアイコンで安心安全なメール - Yahoo!メール

前回のLet's Encryptの90日と1秒の証明書の対策のその後の議論の話と、 なりすましメールを視覚的に対策するための機能（BIMI)の話をしました。 鍵長が科技庁に変換される話、おくりがなが難しい話、アメリカ英語とイギリス英語の話、仮定法過去完了は後半が省略される話などもしました。 BIMI Home | BIMI Group Google Bringing BIMI to Gmail in Google Workspace | Google Cloud Blog DigiCert DigiCert Verified Mark Certificates

Let's Encryptが証明書の有効期間終了を示す Not Afterの解釈違いにより 90日と1秒の証明書を発行していた話、CTログに不整合が発生した原因が宇宙線でビット反転したからかもしれない話、そして漢字は難しい話をしました。 Let's Encryptの有効期間問題 2021.06.08 Certificate Lifetime Incident (valid for an extra one second) - Incidents - Let's Encrypt Community Support (letsencrypt.org) 1715455 - Let's Encrypt: certificate lifetimes 90 days plus one second (m…

Web PKIにおいて証明書をチェックするリントツール、英語が難しい話(仮定法過去の仮定のところを省略する頻出表現の話と仮定法過去完了)、そしてサングラスを買うだけで大変だった話の結末を話しました。 Web PKIのための証明書のリントツール CA/Required or Recommended Practices - MozillaWiki (allizom.org) zmap/zlint: X.509 Certificate Linter focused on Web PKI standards and requirements. (github.com) amazon-archives/certlint: X.509 certificate linter (github.com)…

WebPKIの今を知るためのお勧めリンク集やトレーニング、ポッドキャスト紹介と、信頼されるルートCAとして登録されるための審査について話しました Let's encryptのお勧めリーディングリスト Recommended Reading · letsencrypt/boulder Wiki (github.com) JPNICで「いまさら聞けないPKI～基本から最新動向まで～」 https://www.nic.ad.jp/ja/tech/seminar/pki.html Mozaic.FM ep23 Let's Encrypt https://mozaic.fm/episodes/23/lets-encrypt.html Mozillaの信頼されるルートCA登録プロセス CA/Applic…

CA Browser Forumで、CAが発行する証明書のサブジェクトに、 subject:organizationalUnitName (OID: 2.5.4.11) を含めないように、Baseline Requirementを改定する議論が始まっている話と、マウスとパームレスト探しをしている話、サングラスを買うだけで大変だった話をしました。 CA Browser Forum の議論 [Servercert-wg] Discussion Period Begins on Ballot SC47v2: Sunset subject:organizationalUnitName (cabforum.org) Comparing cf4e17a43977dcf7cb9c9e41efd2df4be…

ゲストに、うるしまさんをお迎えし、S/MIME とギターについて話しました。 o うるしまさんのブログ　自堕落な技術者の日記 - livedoor Blog（ブログ） S/MIME関連の古い記事(O365, iOSの設定等) 今更ながらNIST PKITS (PKIのテストデータセット) o S/MIME の利用を促進する動き 政府主導によるS/MIME化で、PPAP問題やなりすましメールの撲滅を推進 by 諸角昌宏さん | デジタル改革アイデアボックス (cio.go.jp) 座談会 「社会からPPAP をなくすには？」Part2　～PPAP に代わる安全な方式 その1～｜情報処理学会・学会誌「情報処理」｜note JNSA S/MIME検討WG https://www.jnsa.org/…

EV 証明書を利用するウェブサイトをブラウザで閲覧する時に、アドレスバーが緑で表示される機能について話しました。 What are the different types of SSL Certificates? Information for the Public - CAB Forum [更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/10/21) フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | [更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/10/21) (antiphishing.jp) Google Chrome EV表示の終焉…

昨今発表されたモーリシャス政府のTLS傍受の計画と過去にあったカザフスタン政府の傍受とそれに伴うルートストアの対応の話、信頼ストアは利用目的が決まっている話、そして、次世代Webカンファレンス2019 の話をしました。 モーリシャス政府のTLS傍受の計画 Social Media Public Consultation (icta.mu) カザフスタン政府の傍受 1567114 - MITM on all HTTPS traffic in Kazakhstan (mozilla.org) Kazakhstan’s HTTPS Interception (censoredplanet.org) Mozilla takes action to protect users in Kazakhsta…

これまで話してきた Camerfirma CA、Apple CT Policy、Let's Encryptのクロスサイン証明書について、その後に語られた内容について話しました。 Camerfirma CAのDistrustのその後 Summary of Camerfirma's Compliance Issues (google.com) Apple CT Policy Update のその後 Tens of Thousands of GoDaddy Certificates Will Break in macOS 11.4 and iOS 14.6 - SSLMate Blog Rough analysis of CAs embedding too few SCTs to comply w…

少し話題になっていた、Let's EncryptでDST Root CA X3から発行されたISRG Root X1のクロスサイニング証明書が中間CA証明書として設定されるようになった話から、DST Root CA X3は2021年9月30日で切れるけど、トラストアンカーの証明書の有効期限は古いAndroidでは検証されないので使えるよという話題になり、トラストアンカーの証明書の有効期限って過ぎても使えるんですね！（トラストしているのは公開鍵だから）という話をしました。 Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々 (songmu.jp) Yosuke HASEGAWAさんはTwitterを使っています 「こんな方法ありなのｗ「なんと、旧An…

プラットフォームごとに異なるCTポリシー、Trusted Root Store、失効検証についての話と、キテレツ大百科・らんま1/2の音楽がすばらしい話をしました。 Appleの Certificate Transparency Policyのアップデート Apple's Certificate Transparency policy - Apple Support Apple's Next CT Policy Update (google.com) Mozilla のルートストア、失効した証明書のリストの話 Root Store CA - MozillaWiki Revocation list The End-to-End Design of CRLite - Mozilla Securi…

トラストって何？の話、 WindowsでSHA-1がリタイアする話、署名検証の話、素数ぜみ、キャベツの話をしました。 PKI & TRUST Days online 2021 「デジタル社会におけるトラスト」 https://www.jnsa.org/seminar/pki-day/2021/index.html 本の紹介：TRUST 世界最先端の企業はいかに〈信頼〉を攻略したか | レイチェル・ボッツマン, 関 美和 https://www.amazon.co.jp/dp/4822255565 本の紹介：信頼―社会的な複雑性の縮減メカニズム | ニクラス・ルーマン, 大庭 健, 正村 俊之 |本 | 通販 | Amazon SHA-1がリタイアします Microsoft to use SH…

PKIの次の十年と、にしむねあさんの発見した脆弱性、そして乗り物は楽しい話をしました。 ・次の10年の話 The next decade of Public Key Infrastructure… | UNMITIGATED RISK ・にしむねあさんの発見した脆弱性(証明書エラーページでXSS) https://nishimunea.medium.com/ ・前回の落穂ひろい Deprecating TLS 1.0 and TLS 1.1(2021 March) https://tools.ietf.org/html/rfc8996

SCT Auditing、Heartbleed7周年、Aavddon Ransomwareの鍵の取り出しについて話しました。 SCT Auditing Certificate Transparency: SCT Auditing | Hardenize Blog RFC 6962 - Certificate Transparency (ietf.org) Certificate Transparency | GMOグローバルサインブログ (globalsign.com) Opt-in SCT Auditing (public) (google.com) Chrome CT 2021 Plans (google.com) A safer default for navigation: HTTP…