2024年12月30日～2025年1月5日に読んだ中で気になったニュースとメモ書きです。

• [Public Key Hash for Local Domains]
• [Cryptography & Security Newsletter #120]
• [その他のニュース]
  • ▼Let's EncryptのOCSP停止予定について
  • ▼20万以上のSSL証明書の有効期限を見える化した話
  • ▼.go.jpドメインに関する続報
  • ▼PQConnect
  • ▼h3i
• [おわりに]

[Public Key Hash for Local Domains]

こちらのツイートから。

『Public Key Hash for Local Domains』https://t.co/1B71Goezn7
HTTPS Local#yuki_id

— ゆき (@flano_yuki) 2024年12月30日

リンク先はこちら。

www.ietf.org

クライアントが信頼する認証局からの証明書発行なしに、ローカルドメインへHTTPS通信をするための手法の提案。

*.localや*.internal、localhostなどのドメイン、またはRFC1981やRFC3927などで定義されるプライベートIPに該当する通信先の場合、公開鍵をドメイン名に含める形でTLSのハンドシェイク等で利用し、ユーザー向けには短い別名を提示することで利便性を図る、とのこと。具体例がほとんどなくて、わかるようなわからんような...。

[Cryptography & Security Newsletter #120]

こちらのツイートから。

Cryptography & Security Newsletter is out! In this issue:
- Short-Lived Certificates Are Coming in 2025
- Post-Quantum Cryptography Adoptionhttps://t.co/D3P2CYCjBE
Happy New Year everyone! pic.twitter.com/HE1zmK2CVL

— Feisty Duck (@feistyduck) 2024年12月31日

リンク先はこちら。

www.feistyduck.com

トップニュースは短命証明書の話題。GoogleやAppleの提案と、Let's Encryptの6日間証明書計画の対比。

6日間の場合、エラーの余地を考えると毎日更新することになるのでは？との指摘が。Let's Encrypt側の負荷がものすごいことになりそう...。
同時にクロックスキュー問題（時計のずれ）についても。HSTSエラーの一因ともなっていたこの問題がどう影響するか...。

あとは耐量子暗号への移行に関する諸々の話題。暗号関連量子コンピュータの実現まであと20年との予測があるらしいが、はて。

[その他のニュース]

▼Let's EncryptのOCSP停止予定について

こちらのツイートから。

In 2025, @letsencrypt are going to drop support for OCSP revocation checking in their certificates.

This shouldn't cause any problems at all, but I have a funny feeling that it will...https://t.co/3o3WdBVPVU

— Scott Helme (@Scott_Helme) 2024年12月30日

リンク先はこちら。

scotthelme.co.uk

OCSPを停止する流れは問題ないが、証明書からOCSPエンドポイントを削除すると予期せぬ問題が起きるのでは？との指摘。確かに...。

加えて、Let's Encryptの中の人にOCSPリクエストがどれくらいか確認したところ、CDNで捌いてるリクエストが秒間137k、オリジンに来てるリクエストが秒間18kとのこと。すごい規模...。

▼20万以上のSSL証明書の有効期限を見える化した話

こちらのツイートから。

「LINE株式会社が管轄していたネットワークには 数十万もの TLS Endpoints があり」とてつもない。 / “20万以上のSSL証明書の有効期限を見える化した話” https://t.co/R1dbe5rskM

— matsuu (@matsuu) 2024年12月29日

リンク先はこちら。

techblog.lycorp.co.jp

こちとら数枚で苦労してるのに...すごい。

赤い文字は毎秒カウントダウンされており期限切れの緊張感を呼び起こします

これはちょっとこわいかもw

記事からリンクされていたこっちの記事もよかった。GlobalSignのAPIを利用した自動化興味ある...。

techblog.lycorp.co.jp

▼.go.jpドメインに関する続報

こちらのツイートから。

PAPROSO\.GO.JP (近畿経済産業局) も乗っ取れる状態だったけれど連絡に迅速に対応して頂けたようです。SYMPOSIUM\.GO.JP もでしたが対応が早くて素晴らしい。(未保護でした) pic.twitter.com/ab3w84ut8Q

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2025年1月4日

見直したらこれは未連絡だったらしい。独自調査?

— 浸透いうな (浸透待ちは時に危険) (@tss_ontap_o) 2025年1月4日

先週のニュースの続報。

kdnakt.hatenablog.com

年末年始に休まず対応してる部署は大変そうだな...（そもそも放置するなという話ではあるが）。

▼PQConnect

こちらのツイートから。

[New] PQConnect: Automated Post-Quantum End-to-End Tunnels (Daniel J. Bernstein and Tanja Lange and Jonathan Levin and Bo-Yin Yang) https://t.co/oRCVOzECdC

— IACR ePrint Updates (@Lhree) 2024年12月30日

リンク先はこちら。

eprint.iacr.org

TLSに関連する脆弱性があとを立たないことから、耐量子暗号への移行に際して、ネットワーク層でPQConnectという新しいプロトコルを導入して、トランスポート層を変更せずにセキュリティを強化しようと、というお話。しかもVPNのように個別の設定は不要で、PQConnectサーバへの接続は自動化するという...そんなにうまくいくものなのかしら。

インストール方法などが紹介されている公式サイトも。

www.pqconnect.net

▼h3i

こちらのツイートから。

HTTP/3の低レベル検証用コマンドラインツール・Rustライブラリの「h3i」を、CloudflareがOSSとして公開。 https://t.co/TZU29yH3jT

— kokumօtօ (@__kokumoto) 2024年12月30日

リンク先はこちら。

blog.cloudflare.com

あまり使う機会はないかな...?

[おわりに]

そろそろ次の技術書典向けの何かを考えねば...。