冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogleTrustedServiceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version 1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogle Trusted Serviceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。• Google Trust Services のインシデントレポート○ 1876593 - Google Trust Services: Failure to properly validate IP address (mozilla.org) https://bugzilla.mozilla.org/show_bug.cgi?id=1876593 • Chrome Root Programの新バージョンでてました。○ Chrome Root Program Policy, Version 1.5○ Last updated: 2024-01-16○ https://www.chromium.org/Home/chromium-security/root-ca-policy/○ Chrome Root Program Policy Version 1.5 (TRACKED CHANGES).docx - Google ドキュメント https://docs.google.com/document/d/1soL-ZF

ひとけーが今年1/23-26に長崎で行われるSCIS2024で発表します。記事を出すことで自分の役割を果たしたと思っていたけど、対策を世の中にデリバリするにはもう一仕事必要そうだなとおもってもがいている話もちょっとしました。PKIネタではChromeがCTログサーバとして参照するのに可用性要件（90日平均で99%）を求めるようになった話をしました。雑談ではテキサス寒波到来、ゲーム捗った、パンを焼く、もち用アルミホイルなどの話をしました。2024年 暗号と情報セキュリティシンポジウム（SCIS2024) https://www.iwsec.org/scis/2024/ New availability requirements for logs trusted by Chrome coming into effect March 31, 2024 https://groups.google.com/a/chromium.org/g/ct-policy/c/4G-lF2N8H7A/m/fJ4WgAunAQAJPillsbury https://www.pillsbury.com/東洋アルミ おもちを焼くホイルhttps://www.amazon.co.jp/%E6%9D%B1%E6%B4%8B%E3%82%A2%E3%83%AB%E3%83%9F-TOYO-ALUMINIUM-%E3%81%8A%E3%82%82%E3%81%A1%E3%82%92%E7%84%BC%E3%81%8F%E3%83%9B%E3%82%A4%E3%83%AB/dp/B0088B5I6O/

技術書典15とInternet Week 2023に出る話、WebPKIのシェアでLet’s Encryptが過半数を超えた話をしました。雑談では、100kmライド走った話、ムール貝のワイン蒸しの話、サブウェイからターキーブレストがなくなった話をしました。 WebPKIのシェアhttps://twitter.com/rmhrisk/status/1708144837252567238

2023/9/1からCA/Browser Forumの S/MIME ワーキンググループで議論されてきた Baseline Requirementの運用がスタートした話と、メールクライアントで認証済みの発行者からのメールにブランドアイコンを表示するBIMIに対応したメールについて、Gmail上で青バッジが表示される運用が始まったようだという話をしました。雑談ではひとけー学位授与機構で学位（学士（工学））取れたよの話、夏休み何してた？パスポート切れた！など旅行あれこれの話をしました。

Let's Encryptでシリアルナンバーが重複する異なる証明書が発行されたインシデントの報告があり、その発見から対応までのタイムラインがすごいという話と、来年2024年9月からLEのトラストチェーンからクロスサイン証明書が減って短くなるという話をしました。技術書典15に出ます！よろしくお願いします！ ・Let's Encryptで6/15に発生していたインシデントの話 1838667 - Let'sEncrypt: Duplicate Serial Numbers (mozilla.org)・サービスダウンを発見したSSLmateの人の総括ブログ：TheStory Behind Last Week's Let's Encrypt Downtime (agwa.name)・LEが実施したこの変更に伴うサービスダウンだった： Smallchange to end entity certificates: CPS URL and OID will not be included fromJune 15 - API Announcements - Let's Encrypt Community Support (letsencrypt.org)

前回の配信回で取り上げたE-Tugra、Chromeの信頼されるルートCAリストから削除されることが決まったようです(6/15までに配信されるChrome root store v11から)。ほか、EUのトラストサービスのプロバイダーの組織 European Signature Dialog が Google の提唱する90日のshort-lived Certificateに対する懸念を、EU機関にむけて発信している話をしました。European Signature DialogはGoogleのふるまいをAnti-competitiveと言っているようです。 雑談では学位授与機構の試験を受けてきた話、新しく買った電子レンジにWi-Fiがついてる話などをしました。 Security concerns with the e-Tugra certificate authority https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/yqALPG5PC4s Mozilla でも議論がはじまりました Review of e-Tugra's Inclusion in Mozilla’s Root Store (google.com) Google returns to anticompetitive behavior by limiting all certificates to 90 days only https://www.european-signature-dialog.eu/Google_returns_to_anti-competitive_behavior-ESD_26042023.pdf

トルコのCA、E-Tugraから2022年11月にインシデントがレポートされてから、今も引き続きそのインシデントについて議論が行われています。Public Trusted CAとしてRootプログラムに登録されているCAには、規約の遵守が求められることに加えてインターネットコミュニティからの厳しい目が向けられている、というような話をしました。雑談では、技術書典14でJournal2が出た話(無料です！)、トルコやメキシコに行きたい話をしました。• E-Tugra: Incident Report (Security Issues)○ https://bugzilla.mozilla.org/show_bug.cgi?id=1801345• SSL.com: e-Tugra Security Issues○ https://bugzilla.mozilla.org/show_bug.cgi?id=1832570• ひとくちPKI Journal 2 (技術書典14) ○ https://techbookfest.org/product/q4FqjLAxr9rfU9EMQX7wVG

2023/06/01から、Public Trustedなコード署名証明書の発行において Baseline Requirement で秘密鍵保護の強化が施行されます。もともとは2022年の11月に施行される予定だったものが延期されていました。これまでオプションとして許容されてきたソフトウェア鍵生成での証明書発行(PKCS#12形式で保管)が選択肢から外れ、実質的に禁止されることになりました。これによってコード署名付きマルウェアの観測が減っていくのでは…という話をしました。また技術書典で出す予定の本「ひとくちPKI Jornal2」にBYOVD(Bring Your Own Vulnerable Driver)についての記事をひとけーが書いている話もしました。ほとんど全部ネタバレしました。Baseline Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificateshttps://cabforum.org/wp-content/uploads/Baseline-Requirements-for-the-Issuance-and-Management-of-Code-Signing.v3.2.pdf

30年の歴史を持つらしいHTTPSの鍵マークが、今年の秋ごろからChromeでは「チューンアイコン」へ変更されることについて話しました。雑談では、自転車に乗ると楽しいという話をしました。https://blog.chromium.org/2023/05/an-update-on-lock-icon.htmlhttps://scotthelme.co.uk/goodbye-old-friend/

Let's Encryptで証明書の失効と更新の自動化をサポートするACME Renewal Information (ARI)の運用が開始された話、クラウドフレアでドメイン保有者からの権限委譲でACMEでの証明書発行自動化を実施できるようになるDomain Control Validation (DCV)の運用が開始された話、技術書典14で新刊を出す決意表明などを話しました。雑談では何もしてないのにスマホが壊れた話をしました。• Improving Resiliency and Reliability for Let’s Encrypt with ARI• https://letsencrypt.org/2023/03/23/improving-resliiency-and-reliability-with-ari.html • Out now! Auto-renew TLS certificates with DCV Delegation• https://blog.cloudflare.com/introducing-dcv-delegation/• GlobalSign Announces ACME OV Certificate Support • https://www.globalsign.com/en/company/news-events/news/acme-ov-certificate-support• 技術書典14• https://techbookfest.org/event/tbf14

2023年2月にCT v2からv3への移行が実施後に切り戻された話、コード署名証明書でもCTやってくれないかなの話、TLSハンドシェイクの情報を使ってサイバー攻撃のインフラを判別するJA3という手法の紹介と、ちょっとZT Browserの話をしました。雑談ではひとけーがNIST SP 800-63-4の翻訳に参加した話、漫画たくさん読んだ話、世紀末系の話が怖い話をしました。• どうやら、(予定されていた) certificate transparency (CT) v3 への移行後、対応してないためにCTエラーがでているアプリが多数出ている模様👀○ https://twitter.com/EurekaBerry/status/1626048541906059265 • JA3 初めて知った○ https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/○ https://engineering.salesforce.com/open-sourcing-ja3-92c9e53c3c41/• NIST SP 800-63 Digital Identity Guidelines Revision 4 (翻訳版)○ https://openid-foundation-japan.github.io/800-63-4/index.ja.html○ ひとけーが翻訳に参加しました• コミックデイズでいくつかのイブニング作品の読み放題実施中です○ https://comic-days.com/blog/entry/evening_0festival

ZT Browser が CA/B Forum の Server Cert WG に参加申請を出していて、Ballot が行われたけど否決されてしまった様子の話をしました。雑談では、手続きのためにヒューストンに行ったけど珍道中になってしまった話、学士の学位がない人は学位授与機構から学位をもらおう！という話をしました。[Servercert-wg] Discussion period begins: Ballot SC60: Membership of ZT Browser (cabforum.org)https://zotrus.com/en/blog/apple-google-mozilla-opera-what-are-you-afraid-of.html単位積み上げ型の学士の学位授与制度(大学改革支援・学位授与機構)https://www.niad.ac.jp/n_gakui/tsumiage/degree_awards_system/

2022年12月に収録したものをやっと配信できました！Let's Encryptの運営元として知られるINTERNET SECURITY RESEARCH GROUP(ISRG)の2022年のアニュアルレポートについて話しました。Let's Encryptについはもちろん、データ収集時のプライバシーの尊重を勧める「Divvi Up」、インターネットの基幹システムをメモリセーフティなコードにしていこうというイニシアチブである「Prossimo」について紹介されていました。雑談では焼き栗にしたらうまくいった話、手打ちうどん・そばの話をしました。Let’s build a better Internethttps://www.abetterinternet.org/documents/2022-ISRG-Annual-Report.pdfDivvi Uphttps://divviup.org/Prossimohttps://www.memorysafety.org/about/

2022年11月に収録した回をようやく配信できました！お待たせいたしました。Twitter.comの証明書の有効期限が切れそうでハラハラした話、ブラジルの国が運営しているWebPKIのCA(SERPRO's CA)を新しくルートプログラムに登録したいという議題が6週間のオープンディスカッション期間に入っていた話(のちに2023年3月まで議論がサスペンドされました)、PKI関連の書籍が新しく出ていた話をしました。雑談でははてしない物語、揺り戻しの少ない休暇の取り方について話しました。Twitter.comPublic Discussion of SERPRO's CA Inclusion Requesthttps://groups.google.com/a/ccadb.org/g/public/c/Mux855BsRg4/m/MhxJXipVAwAJネットワークセキュリティ詳説 PKI/TLSプロトコルhttps://www.amazon.co.jp/dp/4339029297

2022年9月下旬(収録当時)、ついにChrome Root Programがローンチされた話、ルートプログラムだけでなく証明書検証のプロセス自体もChrome Cert Verifierという独自のものを使うようになる話、証明書のパス構築と証明書検証において歴史的な変化となりそうですよね…という話をしています。雑談では、技術書典13の本にも登場したゆりかさんのピーマンの話のその後、万願寺とうがらしはテキサスのとうがらし(正確にはニューメキシコで採れてテキサスでも流通しているHatch Chile)にそっくり、お気に入りの梨(新甘泉・荒尾梨)などの話をしました。※ひとけーがモバイル環境で収録したためひとけーだけ音がよくないです、すみません！Announcing the Launch of the Chrome Root Programhttps://blog.chromium.org/2022/09/announcing-launch-of-chrome-root-program.htmlCA/B Forumで紹介された資料https://drive.google.com/file/d/1BksDjW0yCcgWiEZ5A5R_a_GHdUYPnCVc/viewFrequently Asked Questionshttps://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.mdAdam Langleyさんのブログ ImperialViolethttps://www.imperialviolet.org/

ご無沙汰しております！休暇中の設備で録音したためひとけーだけ音がよくないです、すみません。IIJ Engineers Blogで2022年6月に発行されたRFC9110(HTTP Semantics)でHTTPSでの証明書検証においてサーバのアイデンティティの確認にCommon Name(CN)項目は使えません(CN-ID MUST NOT be used by clients)と決められた話をしています。すでにChromeでは2017年くらいからSubject Alt Name(SAN)を使うような動作になっています。雑談ではゆりかさんが素数ゼミの本を読んだ話、ひとけーが家の窓にできた蜂の巣を観察している話をしました。HTTPS 証明書の Common Name の検証がしれっと禁止されていた件についてhttps://eng-blog.iij.ad.jp/archives/14820素数ゼミの謎https://www.amazon.co.jp/dp/B0855L5QZ9

BIMIの利用が広がっているようです。Yahoo! Japanが送信メールでBIMIに対応したとのニュースがありました。Tech blogにはBIMIの説明やトラブルシュートの様子が記載されており参考になりました。またLet's Encryptではいくつかのルートプログラムの要請により今まで発行していなかったCRLの発行を始めるとのこと。WebPKIの失効検証が大きく変化していますねという話をしました。また、技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました。技術書典13 オンラインマーケット開催期間の2022/09/10～2022/09/25に、以下のURLから無料で入手できます。PKIの話と雑談という構成でかなりポッドキャストを再現できたと思います。頻出単語の用語集や図を使った脆弱性の解説、園芸や音楽の話を書きました。ぜひ見てみてください。今回の雑談でちょっと紹介しています。「ひとくちPKI Journal 1」https://techbookfest.org/product/igGG2Qv12G2Hm98aWQAKxiYahoo! JAPAN がBIMIを導入• フィッシングメール対策として、Yahoo! JAPANから配信するメールにアイコンが表示される規格「BIMI」を導入 - ニュース - ヤフー株式会社• Yahoo! JAPAN がメールセキュリティ「BIMI」を導入するまでのお話 - Yahoo! JAPAN Tech BlogA New Life for Certificate Revocation Lists• https://letsencrypt.org/2022/09/07/new-life-for-crls.html技術書典13でひとくちPKIの初めての本「ひとくちPKI Journal 1」を発行しました！• https://techbookfest.org/product/igGG2Qv12G2Hm98aWQAKxi

OCSPが持つプライバシーへの懸念を理由の一つとして、Chrome106からはDVやOV証明書がすでにそうなっているようにEV証明書でもOSCPでの証明書失効検証を行わなくなるのとのこと。Webサーバー管理者から見るとOCSP staplingをやったほうがいいケースがありそうという話をしました。ほか、OCSPのRFCって史上最悪級に読みにくいらしい、湖でカメを助けた、夏野菜の育成に失敗したことなどを話しました。• Revocation checking for EV server certificates in Chrome (google.com)https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/S6A14e_X-T0/m/T4WxWgajAAAJ• 自分の行っているセキュリティ関連の情報収集 - ドキュメントを見たほうが早い (hatenablog.com)https://benevolent0505.hatenablog.com/entry/2022/08/29/170000ひとくちPKIをご紹介いただきましてありがとうございます！

PKIコンソーシアムにPKI Maturity Model Working Groupというものができ、PKIを運用している組織の成熟度を評価するモデルを整えようという活動が行われているようです。使いやすいモデルを使って自分たちの組織の成熟度評価ができるようになるといいですねという話をしています。雑談では日本のナスがおいしいアメリカの大きい唐辛子がおいしいなど夏野菜の話、フジロックの話からコロナ時代がもたらした音楽ライブの楽しみ方の変化などについて話しました。What is the PKI Maturity Model (PKIMM) and how can you contribute?https://pkic.org/2022/07/11/what-is-the-pki-maturity-model-pkimm-and-how-can-you-contribute/

Certificate Transparencyのデータを使って大量の証明書からRSA鍵を取り出して調べたら因数が重複しているものが見つかったという研究について話しました。2022年5月の時点で1.59億個の鍵を調査することができ、問題があった鍵は8個見つかったのだとか。案外少ないなと思ったし、以前より良くなっている気がする…というような話をしています。雑談では夏は暑い、JRの青春18きっぷで東京から博多まで行くときのお気に入りのルーティーン、九州列車旅の話をしました。Finding shared RSA factors in the Certificate Transparency logshttps://bora.uib.no/bora-xmlui/bitstream/handle/11250/3001128/Masters_thesis__for_University_of_Bergen.pdf青春18きっぷhttps://railway.jr-central.co.jp/tickets/youth18-ticket/

IPhoneとMacOSのメールクライアントでBIMIのサポートが始まるようです。また実際BIMI対応するにあたってなかなか大変だったお話がJANOG49であったようでした！雑談では塩味の食べ物、バイク、夏の活動限界、歴史勉強したけど覚えてない、大阪の古墳群世界遺産になったけどそんな雰囲気全然ないなどの話をしました。• VMC Adoption is Growing with Apple Support | DigiCert : iPhones (iOS 16) (MacOS Ventura) This fall• https://www.digicert.com/blog/vmc-adoption-growing-with-apple-support• Email Client Market Share and Popularity – Litmus• https://www.litmus.com/email-client-market-share/• これから始めるBIMI ～メールにロゴを表示させるまでの長い道のり(継続中) 平野 善隆さん(株式会社クオリティア)• https://www.janog.gr.jp/meeting/janog49/wp-content/uploads/2021/12/bimi-pre_hirano_20220126.pdf

Sysadminの立場からTLS接続エラーのトラブルシュートをして面倒だった話をChris Siebenmannさんがブログに書かれており、結果的にWebサーバが中間CA証明書を送っていなかったという結末だったのですが、その話の中でFirefoxは中間CA証明書をプリロードしていたり、ChromeやEdgeは中間CA証明書をキャッシュしたりするんだって～えっ証明書の中に入っている機関情報アクセス(AIA)は見られないの！？知らなかった～！というような話をしました。雑談ではずっと車の話をしています。旅先でCivic Del Solという珍しい車を見たがRecognizeできず焦った(経験だけで足りるということはなく、体系的な学習が必要なのだ)話やそのシビックデルソルの屋根の開き方がやばい話(絶対映像見てほしい)、昔乗ってた古い車の話、次買う車ガソリン車かな～というような話などをしています。そして話の中でS600と言っているのはS660が正しく、MRSと言っているのはMR2が正しく、キャデラックエスカレードの全長が4mくらいと言っているのは5.4mが正しいです！大変失礼いたしました。Missing TLS intermediate certificates can create mysterious browser problemshttps://utcc.utoronto.ca/~cks/space/blog/web/TLSIntermediateCertHellURLおもしろい。依存関係のトラブルをDLL HELLと言うのと似てますね。Preloading Intermediate CA Certificates into Firefoxhttps://blog.mozilla.org/security/2020/11/13/preloading-intermediate-ca-certificates-into-firefox/Civic Del Solのオープン屋根の開き方がやばいCR-Xデルソル 電動オープン

先日、計画作業として実施されたはずのGoogleのCTログサーバのリタイアの影響で、そのCTログサーバを参照するサーバ証明書がまだ生きていてCTログの検証が行えずTLS接続がエラーになる事象が起きていました。証明書にはCTログサーバ参照先が2つ以上書かれているはずですが、もうひとつのほうも落ちており、結局のところGoogle頼みだったんだね…というような話をしています。雑談ではずっと乗り物(CB400SFのサンセット、トップガンマーベリック見た、Ninja H2かっこいい、SOAのキリトのバイク納得いかない、高速鉄道の世界最速のレギュレーション納得いかないなど)の話をしました。• Google の CTログの撤去が、CTエラーになっていた件 • Temporary rollback of recent Google log retirements• https://groups.google.com/a/chromium.org/g/ct-policy/c/P3_hj9QmsLc/m/S9xohdAHAQAJ?pli=1• Turning down non temporal Google CT Logs• https://groups.google.com/a/chromium.org/g/ct-policy/c/8mZ2ljdbQJo

以前からやるよと言われていたChrome Root Programのポリシーが公開されました。CA証明書を5年ごとにリプレースしてほしいというところが目玉なのかな、といった話をしました。雑談では枝豆、マスターキートンの電子版の配信が始まった、推しって単純に好きっていう状態とは違うのか？それともほとんど同じなのか？とにかく飛行機乗りたいなどの話をしました。Chrome Root Program (chromium.org)https://www.chromium.org/Home/chromium-security/root-ca-policy/https://twitter.com/estark37/status/1533923475491958784

Black hat USAでRPKIについてのセッションがあるみたいです。RPKIについてはJPNICの方が説明してくださっているワークショップのビデオが公開されています。あとはPKI用語についての小話、CD買った話、ヘッドホン買った話などをしました。 ○ Black hat USA 2022 - Stalloris: RPKI Downgrade Attack▪ https://www.blackhat.com/us-22/briefings/schedule/index.html#stalloris-rpki-downgrade-attack-27348○ JPNIC RPKIワークショップ▪ RPKIワークショップ▪ ○ Sectigoのポッドキャスト：PKI 用語の話▪ Root Causes 218: PKI Nomenclature Oddities | Sectigo® Official○ ヘッドホン買った▪ SONY ステレオヘッドホン MDR-7506 https://www.amazon.co.jp/dp/B000AJIF4E

Mozillaのルート証明書ストアポリシーが、サーバ証明書のCRLにはRFC 5280で決められている失効理由を表すReason Codeを入れることを求める内容に変更された話と、そのほか失効検証にまつわるあれこれを話しました。雑談では、私たちなまってますよね、技術書典で本を出すつもり、記念のマグカップを作ろうの話をしました。Revocation Reason Codes for TLS Server Certificates - Mozilla Security Bloghttps://blog.mozilla.org/security/2022/05/16/revocation-reason-codes-for-tls-server-certificates/MozillaのRevocation についてのWikiCA/Revocation Checking in Firefox - MozillaWiki失効検証のFailure Ratehttps://telemetry.mozilla.org/new-pipeline/evo.html#!aggregates=0%2520bucket%2520percentage&cumulative=0&end_date=2019-12-02&include_spill=0&keys=!__none__!__none__&max_channel_version=beta%252F71&measure=CERT_VALIDATION_HTTP_REQUEST_RESULT&min_channel_version=beta%252F50&processType=*&product=Firefox&sanitize=1&sort_keys=submissions&start_date=2019-10-21&trim=1&use_submission_date=0Mozilla CRLiteIntroducing CRLite: All of the Web PKI’s revocations, compressed - Mozilla Security Blog藤井風さんさよならべいべ： Fujii Kaze - SAYONARA Baby at Okayama Civic Hall何なんw： 藤井 風(Fujii Kaze)

Alexa Top Millionを提供していたalexa.comが2022/5/1にリタイアした話、CTを監視して作りたてのWordPressを狙って攻撃してくる手法があるみたいという話をしました。雑談ではピザの話（続き）、家庭菜園何植える？、期待に応えるための接待サボテン、テキサスは2番目(アラスカの次)に大きくて日本の2倍、デラウェア州、本州一周6000kmの旅の話などをしました。Alexa.comMirror, Mirror, on the Wall, Who’s the Fairest (website) of Them all?https://www.domaintools.com/resources/blog/mirror-mirror-on-the-wall-whos-the-fairest-website-of-them-allCTからの攻撃について@matsuuさんのツイートスレッドhttps://twitter.com/matsuu/status/1522751803242455043?s=20&t=yRyJ5_doufEWESpXecld9QWordPress sites getting hacked ‘within seconds’ of TLS certificates being issuedhttps://portswigger.net/daily-swig/wordpress-sites-getting-hacked-within-seconds-of-tls-certificates-being-issued

SHA1のリタイアが進んでいます。2022/6/1からはOCSPレスポンスの署名にSHA1を利用できなくなる話、CABFのS/MIME WGでは証明書の項目を詰める議論がされてるみたいという話をしました。雑談では「令和の時代に○○を見るとは思わなかった～」を英語で表現する方法、カフェオレ作るとき氷・牛乳・コーヒーどの順番で入れる？の話などをしました。Sunset for SHA1Ballot SC53: Sunset for SHA-1 OCSP Signing | CAB ForumCABF S/MIME WG Meeting Minuteshttps://cabforum.org/2022/04/13/2022-04-13-minutes-of-the-s-mime-certificate-working-group/https://cabforum.org/2022/03/30/2022-03-30-minutes-of-the-s-mime-certificate-working-group/

EUで適格Webサイト証明書というものの導入が議論されており、有用性や適格証明書を発行する認証局の認定を巡ってラウザベンダーからはレターが出されるなど懸念が表明されている状況らしい…という話をしました。雑談パートでは庭に咲いた花、テキサスの夏、日本のコンビニ、アメリカのお菓子の話をしました。適格Webサイト証明書 Qualified Website Authentication Certificates (QWACs)参考サイトEU plans to mandate less secure certificates in browsers | Bulletproof TLS Newsletter | Feisty DuckIf it looks like a duck, swims like a duck, and QWACs like a duck, then it's probably an EV Certificate (scotthelme.co.uk)Qualified website authentication certificate - WikipediaMozilla and the EFF publish letter about the danger of Article 45.2

Cloudflareでは何らかの理由で現在利用中の鍵や証明書が使えなくなった場合に備えて、予備の鍵と証明書を発行しておく取り組みを始めるらしいという話、個人でS/MIME証明書を取得するには苦難が伴う話、ベジフル大百科というポッドキャストが面白い話、雑草絶対抜く器具や虫絶対殺すやつの話をしました。CloudflareIntroducing: Backup Certificates (cloudflare.com)Ryan HurstさんのS/MIMEについてのツイートhttps://twitter.com/rmhrisk/status/1501635511097577472雑草絶対抜くやつhttps://www.gizmodo.jp/2022/01/248663-machi-ya-skidger-start.html

Amazon.co.jpと楽天が送信するメールにBIMIでブランドロゴが表示されるようになってるという話と、ひとくちPKIが1周年を迎えましたという話をしました。楽天サービスに対する不正対策-なりすまし・フィッシングメール対策- (rakuten.co.jp)BIMI Inspector - BIMI Group

HTTP Public Key pinning(HPKP)廃止のタイムラインにつてRemove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com)https://groups.google.com/a/chromium.org/g/blink-dev/c/he9tr7p3rZ8/m/eNMwKPmUBAAJ > Finally, remove support for built-in PKP (“static pins”) at a point in the future when Chrome requires Certificate Transparency for all publicly-trusted certificates (not just newly-issued publicly-trusted certificates). (We don’t yet know when this will be.) 779166 - Deprecate And Remove header-based HTTP Public Key Pinning (HPKP) - chromiumOUフィールドが廃止される話Ballot SC47v2: Sunset subject:organizationalUnitName | CAB ForumDue to New Rule, OU Field to Be Deprecated in Sectigo Issued Certificates Starting July 1st 2022 | Sectigo® Officialアニメの令和リファインhttps://dq-dai.com/うる星やつら楽しみhttps://uy-allstars.com/

HTTP Public Key pinnning、OCSP Staplingの話、WebPKIの証明書のブラウザでの失効検証の話と、おもちとうどんの話、御座候の話、たこあげの話をしました。HTTP Public Key Pinning"HPKP" | Can I use... Support tables for HTML5, CSS3, etcRemove HTTP-Based Public Key Pinning - Chrome Platform Status (chromestatus.com)→話の中でぼんやりしたことを申し上げておりましたが、HPKPはChromeでは2019年1月に、Firefoxでは2020年1月にRemoveされていました。自堕落な技術者の日記 : HPKP(HTTP Public Key Pinning)公開鍵ピニングについて考える - livedoor Blog（ブログ）OCSP Stapling の話⚙ D133706 Bug 966856 - mozilla::pkix: support SHA-2 hashes in CertIDs in OCSP responses r?jschanck!,djackson!MicrosoftのWebサイトを開けない不具合を修正した「Firefox 95.0.1」が公開 - 窓の杜 (impress.co.jp) Bullet proof TLS and PKI v2Bulletproof SSL and TLS | Feisty Duck

PKIコンソーシアムがトラストリストのリスト(リストオブトラストリスト)を作っていますよ、の話と、健康のためにどのようにして運動習慣を獲得するかについて話しました。 ・Creating a global List of Trust Lists | PKI Consortium https://pkic.org/2021/11/24/creating-a-global-list-of-trust-lists/

開催中のInternet WeekでPKI関連トピックもいくつかあるよという紹介と、関東平野が平べったい、動物のお医者さん、新幹線と飛行機の思い出、温泉、まだ行ったことない行ってみたいところの話などをしました。 ・プログラム - IW2021 (nic.ad.jp) ・C9 インターネットルーティングの新常識 RPKIをはじめよう！ ・C19 電子契約、公開鍵基盤（PKI）、証明書、リーガルテックの基盤技術 ・C24 きみが思うより側にある国際標準

フィッシング対策セミナーで聞いた話の話と反省会、あとCT(Certificate Transparency)と新しく発表する物事の相性があんまり良くないなという話、サマータイムが終わった話とOutlookのカレンダーにタイムゾーンが3つ出せるようになった話などをしました。 フィッシング対策協議会 フィッシング対策セミナー 2021（オンライン）開催のご案内 (antiphishing.jp) https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html 商標とCT：Meta.com https://crt.sh/?q=meta.com Meta.comの証明書について、発表のタイミングではSubject DNに「CN = meta.com」しか書かれていないDV証明書が発行されていたが、しばらくしてから「O = Facebook, Inc.」も書いてあるEV証明書も発行されていた。意図的にコントロールしていたのかは不明ですが～。Time Zone ConverterTime Zone Converter – Time Difference Calculator (timeanddate.com)TimeZonesのメニューにある International Meeting Plannerは複数タイムゾーンでmeeting時間の話し合いをするとき便利Microsoft Outlook タイムゾーンを追加するタイム ゾーンを追加、削除、または変更する (microsoft.com)

11/5(金)にフィッシング対策セミナーでお話しします。PKIとフィッシングの関りについて、昔の話も掘り起こしつつ今までの話と、WebPKI、S/MIME、BIMIなどについて今やこれからのお話をします。お時間合いましたらぜひご参加ください！ ほか、11/11(木)～12(金)で開催される「IAjapan 第21回 迷惑メール対策カンファレンス」がおもしろそうという話、Bulletproof TLS Newsletter に載ってるPKI Jobsが面白い話や、PKIやテクノロジーにまつわる冗談の話をちょっとだけしました。 フィッシング対策セミナー 2021（お申し込みもこちらから） https://www.antiphishing.jp/news/event/antiphishing_seminar2021.htmlIAjapan 第21回 迷惑メール対策カンファレンス https://www.iajapan.org/anti_spam/event/2021/conf_21st/index.html Expiration of DST Root CA causes problems with Let’s Encrypt certificates | Bulletproof TLS Newsletter | Feisty Duck https://www.feistyduck.com/bulletproof-tls-newsletter/issue_82_expiration_of_dst_root_ca-causes_problems_with_lets_encrypt_certificates

デバイスの信頼性検証(attestation)のための証明書の有効期限切れで一部のモバイル端末が利用できなくなった話、LEの翻訳ちょっとずつやってる話、証明書をECDSAにするとやっぱり速いんだの話、CA/Browserフォーラム勉強会に参加してすごくよかった話と、京極夏彦先生の本が分厚い話、まだ写メって言う？という話などをしました。SafetyNet Attestationで障害が発生していた話MDMで管理された3万台超の端末で意図せず発生した強制ロックについてまとめてみた - piyolog (hatenadiary.jp)Outage: The SafetyNet Attestation API certificate expired (google.com)SafetyNet Attestation API | Android デベロッパー | Android DevelopersFIDO/WebAuthNにおけるAndroid SafetyNet AttestationとKey Attestationの違い - Got Some \W+ech? (hatenablog.com)Google Developers Japan: キーストアの鍵の構成証明 (googleblog.com)厳しくなったSafetyNet Attestationによる端末チェック - Speaker Deck000721284.pdf (soumu.go.jp)PowerPoint プレゼンテーション (jnsa.org)phpでSafetyNet APIのレスポンスの証明書を検証する | GRIPHONE ENGINEER'S BLOGSafetyNet Attestation API | Android デベロッパー | Android Developers翻訳をちまちまと始めましたhttps://crowdin.com/project/lets-encrypt-website数百万件残っていたHTTPのはてなブログを4年越しにすべてHTTPS化させた話https://developer.hatenastaff.com/entry/2021/10/25/093000WebのPKIに関するガイドラインを策定しているCA/Browserフォーラムにおける最新動向と国際的なトラストに

LEの古いルート認証局の自己署名証明書満了後、新しいCRLが発行されていたので鍵は破壊されていなそうだという話、JPNIC主催のCA/Browserフォーラム勉強会の話、Appleのルート証明書プログラムの話、NetflixがTLSのテストスイート「BetterTLS」をアップグレードした話をしました。また、何かをやったあとに良いレガシーを残す難しさ(木村さんが通ったあとには何も残ってないですね)の話や、栗の渋皮をむくのが難しい話などもしました。 ・@kjurさんのツイート https://twitter.com/kjur/status/1448552494489997314 ・WebのPKIに関するガイドラインを策定しているCA/Browserフォーラムに おける最新動向と国際的なトラストに関する勉強会 - JPNIC 2021年10月22日(金) 16:00～18:00 (申し込み10/21まで) https://www.nic.ad.jp/ja/topics/2021/20211014-01.html ・Root Certificate Program - Apple https://www.apple.com/certificateauthority/ca_program.html ・Revisiting BetterTLS: Certificate Path Building https://netflixtechblog.com/revisiting-bettertls-certificate-path-building-4c978b79843f (edited)

古いOpenSSL(1.0系)のパス構築が突き抜けて有効期限切れのルートにつながってしまいExpireのエラーになってしまう事象は以前にも確認されていたという話、SmartHRの方が書かれたBIMIはじめましたブログがすばらしかった話、通販で新潟県のあれこれを楽しんだ話、秋の味覚の話などをしました。・Node-v0.10.34がはまったクロスルート証明書とOpenSSLの落とし穴 https://jovi0608.hatenablog.com/entry/20141222/1419265270 ・BIMI SmartHR SmartHR、BIMIはじめました - SmartHR Tech Blog https://tech.smarthr.jp/entry/2021/09/14/144409【楽天市場】ヤスダヨーグルト 900ml：新潟の地酒・特産 日本酒の長田屋 (rakuten.co.jp) https://item.rakuten.co.jp/nagataya/105107/【楽天市場】人参ジュース 雪下にんじんジュース 1L×6本 津南高原 新潟 魚沼 雪中にんじん 雪下人参 御歳暮 本州送料無料：新潟名物専門店 小竹食品 (rakuten.co.jp) https://item.rakuten.co.jp/odakesyokuhin/yukishita1/

9/30にいよいよ切れましたね、どれが切れたんだっけ？、いろいろ影響があったみたい、という話、スライサーで指を切った話、歯列矯正の話、運動習慣やスポーツジムの話などをしました。 ・Let's EncryptのルートCA証明書期限切れ、多数のサイトで問題発生 - ZDNet Japan https://japan.zdnet.com/article/35177496/

出張版のお知らせと、Let's Encryptの古いルートCA証明書が9月30日に有効期限を迎える話、ゲームが好きな話、庭いじりの話、芝刈りゲームの話などをしました。[お知らせ] ひとくちPKI の出張版が予定されています。興味のある方はぜひご登録ください。・情報セキュリティワークショップ in 越後湯沢 車座(オンライン)10月8日（金）18:00～20:00プログラム | 情報セキュリティワークショップin越後湯沢2021 (anisec.jp)————————————————————————ひとくちPKI ～越後湯沢WS 車座出張回～————————————————————————Public Key Infrastructure という名の通り社会基盤として活用され、時には記憶に残るシステム障害の原因にもなるPKIですが、暗号技術を使った暗号化・認証・署名の仕組みは実際に難解でありとっつきづらかったり、(専門家|スペシャリスト|エキスパート)でなければ話題に触れることにも気後れしてしまったり、そんな風に感じる方もおられるかもしれません。何せ私たち自身もちょっとそう感じているのです。PKIそれそのもののお話もしながら、難解だが重要なことがらについて、興味度や理解度に応じてどのように関わっていくことができるのか、観測者としての役割や、それぞれの立場からどのように貢献していけるのか、次世代のプレイヤーは育っているのかなどなど、車座ならではのお話しをみなさんと一緒にできたらよいかと思っております。————————————————————————・フィッシング対策セミナー 2021（オンライン）2021年11月5日（金）13:00 ～ 13:40フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | イベント | フィッシング対策セミナー 2021（オンライン）開催のご案内 (antiphishing.jp)・Let's Encryptの古いルートCA証明書が9月30日に有効期限を迎える話Let's Encrypt's Root Certificate is expiring! (scotthelme.co.uk)Certificate Compatibility - Let's Encrypt (letsencrypt

Lをやめたいと思っても、一意性が保てなくなって案外難しいかもな話、EV証明書のフレンドリ名って昔日本語で出てた気がする話、EVコードサイニング証明書の話、BIMIがひとけーのGmailモバイルアプリにも来た話、BIMIロゴがGoogleアカウントのプロファイルに設定しているアイコンと同じように見えることがちょっと不安な話、CA Security Council (CASC)がPKI Consortiumになった話、クライド型署名の話などをしました。雑談ではクラウド型署名を体験した話、紙にペンでサインするやつをウェットサインと呼ぶ話、印刷することハードコピーと呼ぶ話、棚を増やすと物が増える話などをしました。日本語と証明書証明書情報の日本語表記｜SSL/TLS サーバー証明書 SureServer｜サイバートラスト (cybertrust.co.jp)EVコード署名EV コードサイニング証明書 | DigiCert.comBIMI モバイルにも来た！デジサート、CNNにVerified Mark証明書を発行、BIMIメール規格の重要基盤を構築 - DigiCertPKI関連の団体From CASC to the Public Key Infrastructure Consortium | PKI Consortium「クラウド型電子署名サービス協議会」設立。アドビ、freeeなど7社が参加 - INTERNET Watch (impress.co.jp)JT2A: 日本トラストテクノロジー協議会電子署名QA JNSA電子署名WG 電子署名Q&A

オランダ政府のCAがWebサイト向けにEV証明書を出していたのをやめる話、GmailのWebブラウザ版でひとけーのアカウントでもBIMIが始まった話、あとエヴァンゲリオンの話をしました。Dutch government to stop issuing TLS certs because of ever-complicated standardshttps://therecord.media/dutch-government-to-stop-issuing-tls-certs-because-of-ever-complicated-standards/Advancing email security for Gmail and beyond with BIMIhttps://cloud.google.com/blog/products/identity-security/bringing-bimi-to-gmail-in-google-workspaceシンエヴァ、海外でAmazon Prime Video独占配信。8月13日からhttps://av.watch.impress.co.jp/docs/news/1335533.html

Sigstoreで利用する証明書を発行する認証局をMozillaのルート証明書登録プログラムに乗せたいという話から、WebPKIってそういえば何？という話と、SectigoがSubject DNの項目にLocality(L=)を入れるのをやめたいと考えていることについて話しました。また、英会話バッドノウハウ、虫刺されについても話しました。WebPKIってそういえば何： https://twitter.com/sleevi_/status/1420805874180837383 Web PKI とは：Web PKI OPS (wpkops) - (ietf.org)https://datatracker.ietf.org/wg/wpkops/about/Sigstorehttps://www.sigstore.dev/sigstore/fulcio: Sigstore WebPKI - GitHubhttps://github.com/sigstore/fulcio"fulcio is a free Root-CA for code signing certs - issuing certificates based on an OIDC email address."Sectigo が Locality を取りやめようとしている話https://cabforum.org/extended-validation/雑談https://knqyf263.hatenablog.com/entry/2021/08/04/211903

IETFでドキュメントサイニングのExtended Key Usageを作ろうという議論が行われている話、IETFって議決を取るときハミングで決めるらしい話、TLS証明書チェッカーの紹介について話しました。 ほか、自由に外出できるようになったら行ってみたいところなどについて話しました。 ・IETF111 - LAMPS https://datatracker.ietf.org/meeting/111/materials/slides-111-lamps-chair-slides-02.pdf?fbclid=IwAR2Y8dkBj9_ZMGL2fUFcJ76cH9DgCja_vDEXxv6mKLxU9akZL88fYBq1GZE ・General Purpose Extended Key Usage (EKU) for Document Signing X.509 Certificates https://datatracker.ietf.org/doc/html/draft-ito-documentsigning-eku-00 ・TLS証明書チェッカーcheck-tls-certの公開 - インフラエンジニアway - Powered by HEARTBEATS https://heartbeats.jp/hbblog/2021/07/check-tls-cert.html ・GitHub - heartbeatsjp/check-tls-cert: Check-tls-cert is a TLS certificate checker. https://github.com/heartbeatsjp/check-tls-cert

BIMIについて、大手メールサービスプロバイダのローンチ状況やVMC証明書の中身の話、送信元ドメイン認証のニルヴァーナにたどり着けるか？という話をしました。 ほか、蚊取り線香、蝉、ゲームで運動、怖い映画の話などもしました。BIMI Inspector | BIMI GroupSupporting Documents | BIMI GroupVerified Mark Certificates (VMC) and BIMI | BIMI Groupブランドアイコンで安心安全なメール - Yahoo!メール

前回のLet's Encryptの90日と1秒の証明書の対策のその後の議論の話と、なりすましメールを視覚的に対策するための機能（BIMI)の話をしました。鍵長が科技庁に変換される話、おくりがなが難しい話、アメリカ英語とイギリス英語の話、仮定法過去完了は後半が省略される話などもしました。BIMI Home | BIMI GroupGoogle Bringing BIMI to Gmail in Google Workspace | Google Cloud BlogDigiCert DigiCert Verified Mark Certificates

Let's Encryptが証明書の有効期間終了を示す Not Afterの解釈違いにより 90日と1秒の証明書を発行していた話、CTログに不整合が発生した原因が宇宙線でビット反転したからかもしれない話、そして漢字は難しい話をしました。Let's Encryptの有効期間問題2021.06.08 Certificate Lifetime Incident (valid for an extra one second) - Incidents - Let's Encrypt Community Support (letsencrypt.org)1715455 - Let's Encrypt: certificate lifetimes 90 days plus one second (mozilla.org)Measure certificate validity periods inclusive of their endpoints · Issue #5473 · letsencrypt/boulder · GitHub・うるしまさんによるLet's Encryptのルート認証局移行の解説(6) kjur セキュリティ IT 開発の私的情報収集用＋少しつぶやきさんはTwitterを使っています 「オープンソースカンファレンス2021北海道で Let's Encryptのルート認証局移行問題について解説させてもらいました。 https://t.co/HgEqYDL7Hg 初心者の方にもわかりやすくと思いましたが無理でした、、、、」 / Twitter・宇宙線ビット反転(？)でマークルツリーが壊れた（原題：Yeti 2022 not furnishing entries for STH 65569149https://groups.google.com/a/chromium.org/g/ct-policy/c/PCkKU357M2Q/?pli=1ハッカーニュースにめちゃくちゃレス付いてる(原題：Single random bit flip causes error in certificate transparency log)https://news.ycombinator.com/item?id=27728287

Web PKIにおいて証明書をチェックするリントツール、英語が難しい話(仮定法過去の仮定のところを省略する頻出表現の話と仮定法過去完了)、そしてサングラスを買うだけで大変だった話の結末を話しました。Web PKIのための証明書のリントツールCA/Required or Recommended Practices - MozillaWiki (allizom.org)zmap/zlint: X.509 Certificate Linter focused on Web PKI standards and requirements. (github.com) amazon-archives/certlint: X.509 certificate linter (github.com)

WebPKIの今を知るためのお勧めリンク集やトレーニング、ポッドキャスト紹介と、信頼されるルートCAとして登録されるための審査について話しましたLet's encryptのお勧めリーディングリストRecommended Reading · letsencrypt/boulder Wiki (github.com) JPNICで「いまさら聞けないPKI～基本から最新動向まで～」https://www.nic.ad.jp/ja/tech/seminar/pki.html Mozaic.FMhttps://mozaic.fm/episodes/23/lets-encrypt.html Mozillaの信頼されるルートCA登録プロセスCA/Application Process - MozillaWikiCA/Quantifying Value - MozillaWiki 昨今のCA登録パブリックディスカッションPublic Discussion of HARICA's Root CA Inclusion Requests (google.com)Public Discussion re: Inclusion of the TunTrust Root CA (google.com)Public Discussion re: Inclusion of the iTrusChina Root CAs (google.com)

CA Browser Forumで、CAが発行する証明書のサブジェクトに、 subject:organizationalUnitName (OID: 2.5.4.11) を含めないように、Baseline Requirementを改定する議論が始まっている話と、マウスとパームレスト探しをしている話、サングラスを買うだけで大変だった話をしました。CA Browser Forum の議論[Servercert-wg] Discussion Period Begins on Ballot SC47v2: Sunset subject:organizationalUnitName (cabforum.org)Comparing cf4e17a43977dcf7cb9c9e41efd2df4be4707e13...160f860dc1eccaa273bc8001dadaf07c4bba9dbd · cabforum/servercert (github.com)マウスhttps://www.logicool.co.jp/ja-jp/products/mice/mx-master-3.html

ゲストに、うるしまさんをお迎えし、S/MIME とギターについて話しました。o うるしまさんのブログ 自堕落な技術者の日記 - livedoor Blog（ブログ） S/MIME関連の古い記事(O365, iOSの設定等) 今更ながらNIST PKITS (PKIのテストデータセット) o S/MIME の利用を促進する動き 政府主導によるS/MIME化で、PPAP問題やなりすましメールの撲滅を推進 by 諸角昌宏さん | デジタル改革アイデアボックス (cio.go.jp)座談会 「社会からPPAP をなくすには？」Part2 ～PPAP に代わる安全な方式 その1～｜情報処理学会・学会誌「情報処理」｜noteJNSA S/MIME検討WG https://www.jnsa.org/jnsapress/vol12/12_14.pdfJNSA S/MIME検討WG 2004年度報告 S/MIMEクライアントの機能検証結果報告 o CAB Forum S/MIME Certificate Working Group - CAB Forumo 無料証明書イタリアの無料S/MIME証明書 Actalis https://www.actalis.it/en/certificates-for-secure-electronic-mail.aspx·Comodo社の無料S/MIME証明書 https://www.comodo.com/home/email-security/free-email-certificate.phpo NIST Public Key Infrastructure Testing (PKITS) o Microsoft IRM· Azure RMS のしくみ - Azure Information Protection | Microsoft Docs· Azure Information Protection のドキュメント | Microsoft Docso ギター· ギター通販Reverb https://reverb.com/· YAMAHA サイレントギター https://jp.yamaha.com/products/musical_instruments/guitars_basses/silent_guitar/index.html· Fe

EV 証明書を利用するウェブサイトをブラウザで閲覧する時に、アドレスバーが緑で表示される機能について話しました。What are the different types of SSL Certificates?Information for the Public - CAB Forum[更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/10/21)フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | [更新] 各ブラウザによる SSL / TLS サーバ証明書の表示の違い (2019/10/21) (antiphishing.jp)Google Chrome EV表示の終焉https://jovi0608.hatenablog.com/entry/2019/08/12/095854TLSとWebブラウザの表示のいまとこれから～URLバーの表示はどうなるのか～https://www.nic.ad.jp/sc-sendai/program/iwsc-sendai-d2-5.pdfInternet Explorer 11 サポート終了Internet Explorer は Microsoft Edge へ – Windows 10 の Internet Explorer 11 デスクトップアプリは 2022 年 6 月 15 日にサポート終了 - Windows Blog for Japan＜補足＞ Apple Safariでは、EV証明書を利用するサイトの場合、アドレスバー自体は緑にはなりませんが、ドメイン名を緑字で表示しています。（ただし、組織名表示は取りやめ、ドメイン表示に変えています「Chrome」と「Firefox」のアドレスバーでEV証明書の情報表示を変更へ - ZDNet Japan

昨今発表されたモーリシャス政府のTLS傍受の計画と過去にあったカザフスタン政府の傍受とそれに伴うルートストアの対応の話、信頼ストアは利用目的が決まっている話、そして、次世代Webカンファレンス2019 の話をしました。モーリシャス政府のTLS傍受の計画Social Media Public Consultation (icta.mu)カザフスタン政府の傍受1567114 - MITM on all HTTPS traffic in Kazakhstan (mozilla.org)Kazakhstan’s HTTPS Interception (censoredplanet.org)Mozilla takes action to protect users in Kazakhstan - The Mozilla Blog独裁国家が政府認証のルート証明書導入を国民に強制、ISPによる中間者攻撃も確認される - GIGAZINE信頼されるルートストアは、目的に沿った利用をBeware of Applications Misusing Root Stores - Mozilla Security Blog次世代Webカンファレンス2019 HTTPS - 次世代Webカンファレンス #nwc_https

これまで話してきた Camerfirma CA、Apple CT Policy、Let's Encryptのクロスサイン証明書について、その後に語られた内容について話しました。Camerfirma CAのDistrustのその後Summary of Camerfirma's Compliance Issues (google.com)Apple CT Policy Update のその後Tens of Thousands of GoDaddy Certificates Will Break in macOS 11.4 and iOS 14.6 - SSLMate BlogRough analysis of CAs embedding too few SCTs to comply with the 2021-04-21 update to the Apple CT Policy · GitHubCertificate Transparency Policies Diverge After Apple's Update | Hardenize BlogLet's Encryptのクロスサイン証明書のその後Let's Encryptのルート認証局移行についてちょっと調べてみた - QiitaAppleの新しいCTポリシーに準拠していない証明書を発行したCAの話の中で、ミスがありました。訂正してお詫びします：×発行枚数が一番多かったCAの原因が180日を６か月としたのではないか〇発行枚数が２番目に多かったCAの原因が180日を６か月としたのではないか×発行された証明書の有効期限を見てみると 181-254days だった〇発行された証明書の有効期限を見てみると182日１４時間５４分３６秒だった

少し話題になっていた、Let's EncryptでDST Root CA X3から発行されたISRG Root X1のクロスサイニング証明書が中間CA証明書として設定されるようになった話から、DST Root CA X3は2021年9月30日で切れるけど、トラストアンカーの証明書の有効期限は古いAndroidでは検証されないので使えるよという話題になり、トラストアンカーの証明書の有効期限って過ぎても使えるんですね！（トラストしているのは公開鍵だから）という話をしました。Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々 (songmu.jp) Yosuke HASEGAWAさんはTwitterを使っています 「こんな方法ありなのｗ「なんと、旧Androidはトラストストアに入っている証明書の有効期限検証をおこなわないため、2021年9月29日より後も証明書検証に成功するらしいのです。何ということでしょう…。」https://t.co/iWctgvbd31」 / Twitter https://twitter.com/kazuho/status/1387965341855219721 の想定回答 · GitHub RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (ietf.org) Internet X.509 PKI Certificate and Certificate Revocation List (CRL) Profile (ipa.go.jp) Google Developers Japan: Google、HTTPS、デバイスの互換性 (googleblog.com) 料亭の味 白だし | フンドーキン醬油株式会社 (fundokin.co.jp)

プラットフォームごとに異なるCTポリシー、Trusted Root Store、失効検証についての話と、キテレツ大百科・らんま1/2の音楽がすばらしい話をしました。Appleの Certificate Transparency PolicyのアップデートApple's Certificate Transparency policy - Apple SupportApple's Next CT Policy Update (google.com) Mozilla のルートストア、失効した証明書のリストの話CA - MozillaWikiRevocation list The End-to-End Design of CRLite - Mozilla Security Blog Chrome のルートストア、失効した証明書のリストの話Chrome Root Program - The Chromium ProjectsRevocation List CRLSets - The Chromium Projects Microsoft のルートストアの話リリースノート-Microsoft 信頼されたルート証明書プログラム | Microsoft Docs 訂正：ChromeのRoot Storeは 20個とかくらい → ちゃんと数えてみたら 122個ありました。 MicrosoftのRoot Storeは300個とかくらい →ちゃんと数えてみたら415個ありました。

トラストって何？の話、 WindowsでSHA-1がリタイアする話、署名検証の話、素数ぜみ、キャベツの話をしました。 PKI & TRUST Days online 2021 「デジタル社会におけるトラスト」https://www.jnsa.org/seminar/pki-day/2021/index.html 本の紹介：TRUST 世界最先端の企業はいかに〈信頼〉を攻略したか | レイチェル・ボッツマン, 関 美和https://www.amazon.co.jp/dp/4822255565本の紹介：信頼―社会的な複雑性の縮減メカニズム | ニクラス・ルーマン, 大庭 健, 正村 俊之 |本 | 通販 | AmazonSHA-1がリタイアしますMicrosoft to use SHA-2 exclusively starting May 9, 2021 - Microsoft Tech Community デジタル署名検証ガイドラインhttps://www.jnsa.org/result/e-signature/2021/index.htmlキャベツのスライサー：Amazon.co.jp : アーネスト 【日本製】 スライサー (千切り) 3倍速でできる (3倍速 トリプルウェーブ) 大手飲食店愛用ブランド 限定カラー ブラック A-77295 【Amazon.co.jp限定】 : ホーム＆キッチン

PKIの次の十年と、にしむねあさんの発見した脆弱性、そして乗り物は楽しい話をしました。・次の10年の話The next decade of Public Key Infrastructure… | UNMITIGATED RISK・にしむねあさんの発見した脆弱性(証明書エラーページでXSS) https://nishimunea.medium.com/・前回の落穂ひろいDeprecating TLS 1.0 and TLS 1.1(2021 March)https://tools.ietf.org/html/rfc8996

SCT Auditing、Heartbleed7周年、Aavddon Ransomwareの鍵の取り出しについて話しました。 SCT AuditingCertificate Transparency: SCT Auditing | Hardenize BlogRFC 6962 - Certificate Transparency (ietf.org)Certificate Transparency | GMOグローバルサインブログ (globalsign.com)Opt-in SCT Auditing (public) (google.com)Chrome CT 2021 Plans (google.com)A safer default for navigation: HTTPShttps://blog.chromium.org/2021/03/a-safer-default-for-navigation-https.htmlHeartbleed7周年https://blog.cloudflare.com/heartbleed-revisited/Avaddon ランサムウェアの鍵のとりだしhttps://arxiv.org/pdf/2102.04796.pdf

素敵なアートワークを作っていただきました。@HAZIさんありがとうございます！ 前回話したsigstoreのアーキテクチャ、WebPKIで利用する証明書の有効期限が短くなる流れについて話しました。 -sigstore A non-profit, public good software signing & transparency service https://sigstore.dev/ -GMOグローバルサインブログ: SSLサーバ証明書の有効期間を短縮するという決定に関する続報 https://jp.globalsign.com/blog/articles/cabrowserforum_200707.html<録音時の問題により、ふたりの音声の大きさが揃っておらず、聞きづらいところがあります。申し訳ありません>

CTのちょっとした話と、Let's Encrypt がルート認証局を始めたことにおける「2フィート」 をどうするのかという話、そして OSS向けにオープンな署名サービスを提供しようとこころみるSigstoreプロジェクトの話をしました。参考情報RFC6962https://tools.ietf.org/html/rfc6962JPNIC Certificate Transparency (CT)とはhttps://www.nic.ad.jp/ja/basics/terms/ct.htmlCertificate Transparencyを知ろう - JNSAhttps://www.jnsa.org/seminar/pki-day/2016/data/1-2_oosumi.pdfStanding on Our Own Two Feet [Updated]https://letsencrypt.org/2020/11/06/own-two-feet.htmlSigstorehttps://sigstore.dev/

節分、スペインの認証局Carmerfirma がChrome90からdistrustされる件について話しました。Summary of Camerfirma's Compliance Issues (google.com)@jovi0608 さんツイートhttps://twitter.com/jovi0608/status/1354047261945151491

雑談とPKIのポッドキャスト始めようと思ったきっかけなどを話しました。よろしくお願いします！