Let's Encryptが有効期間６日間で失効情報を提供しない証明書を提供することがアナウンスされた件と、Entrustがパブリック証明書事業をSectigoへ売却する件について話しました。雑談では、ひとけー転職した話、サボテンのあみぐるみを編みたい話をしました。 

• Announcing Six Day and IP Address Certificate Options in 2025 - Let's Encrypt
• Entrust Sells Public Certificate Business to Sectigo, Sharpening Focus on Quantum-Ready Cryptographic Data Security Solutions | Entrust

ひとくちPKIもご紹介いただきありがとうございます！

• Xユーザーのkatoko(かとこ)@ネスペ勉強中さん: 「僭越ながら好きなPodcastをまとめたブログちょっと伸びた。紹介させていただいています。好きです。 #セキュリティのアレ #ゆるコンピュータ科学ラジオ #ひまじんプログラマーの週末エンジニアリングレッスン #ひとくちPKI #momitfm #お風呂で情シスラジオ #spno1 #ImageCast https://t.co/brO3bwUExM」 / X

ブラジルの政府系CAである「ICP-Brasil」の中間CAであるCertisign ( https://certisign.com.br/ )がgoogle.comをSubjectに持つTLS Webserver Authentication証明書を発行していたことがCTのモニタリングによって見つかった件と、ep70で話したLet's EncryptがOCSPやめる件についてサポート終了の正確なタイムラインが出た件について話しました。雑談ではひとけーのノートパソコンが死にそうで音がガビガビな話、2000年の年越しどうだった、2000円札見たことない、よいお年を！などの話をしました。

• Google.com の証明書がICP-Brasil（Autoridade Certificadora Raiz Brasileira v10）によって不正に発行された件

○ 1934361 - ICP-Brasil: Mis-issued certificate

○ crt.sh | 421329f0dc2f683d6e96c1b5b310974d0997ad984ef69120f55372b4f48e1037

• ep70 で話したLet's EncryptがOCSPやめるってよのその後の話：Ending OCSP Support in 2025 - Let's Encrypt

・お知らせ

Google PodcastがYouTube Musicに変わったとき、サブスクライブ設定が引き継がれなかったようです。

YouTube Musicをお使いの方で、引き続き番組をお聞きいただける場合は、お手数ですがお手元で個別にRSSのURLを登録してサブスクライブをおねがいいたします。

ひとくちPKI Podcast配信RSSのURLはこちらです： https://anchor.fm/s/42b89b8c/podcast/rss

本編ではFirefoxでCTのチェックが必須になった話、.mobiのTLDにおいて、古いWhoisサーバーのドメインテイクオーバーによって.mobiのWhois応答を模倣する(CAに応答が真正であると思わせる)ことができ、結果として所持していない任意の.mobiのドメインの証明書が発行できそうだったことがオフェンシブセキュリティ企業のwatchTowrによって明らかにされたインシデントについて話しました。雑談ではゴルフの話、高齢になる前に運動習慣を身につけたい話をしました。

・FirefoxのCT必須化

1921525 - enforce certificate transparency in nightly

・.mobi任意証明書発行未遂(PoCですんだ)インシデント

https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/

・ゆきさんのブログでも紹介されております

https://asnokaze.hatenablog.com/entry/2024/09/27/003452

・2015年のlive.fiの話(なんとブログ著者はep68,69で話したEntrustインシデントのメールスレッドで対応していた方)

https://www.entrust.com/blog/2015/03/what-happened-with-livefi

・CABFでWhoisでのドメイン所有確認のサンセットが賛成多数で採決されました(Ballot SC-80v3: Sunset the use of WHOIS to identify Domain Contacts and relying DCV Methods)

https://cabforum.org/2024/11/14/ballot-sc-80v3-sunset-the-use-of-whois-to-identify-domain-contacts-and-relying-dcv-methods/

Let's EncryptがOCSPでの失効情報の提供をやめることを発表しました。CRLが大変だから始まったOCSPがどうやら役目を終えそうなムードです。また、CABFでWebPKIのTLS証明書の有効期間を45日にしたいという議題が提起されました。採決はまだですが、短くしたいムードがありますねといった話をしています。雑談では、子どものころ「どすこい」の言い方を練習しなかった？、らんま1/2の新作、U-NEXTの作品収集にかける情熱がすごいなどの話をして言います。 

• Intent to End OCSP Service 

• https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls/ 

• SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods 

• https://github.com/cabforum/servercert/pull/553/files 

• Moving Forward, Together 

• https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together/ 

1時間まるっとEntrustのTLS証明書が各ブラウザベンダからDistrustされる話をしています。 

収録したのが少し前なので11/1以降に発行された証明書がChromeで信頼されなくなると言っていますが、現在その日付が11/12に変更になっています。 

EntrustのTLS証明書のDistrustのタイミングについて最新情報はこちらから確認できます。 

https://www.entrust.com/tls-certificate-information-center 

SSL.comからサブCAの運用に関するベストプラクティスについてのペーパーが発行されました。ep58,59で話した、インシデントの後に各ルートプログラムからリムーブされたe-Tugra CAがSSL.comのリセラーであったことが関連していると思われます。 

また、Entrustが2024年3月～5月に22件のインシデントを起こしており、その後の対応が良くなかったため、MozillaのルートプログラムからEntrustに対して根本的な対処について詳細な提案が求められている件について話しました。 

雑談ではルービックキュープ上達した話、ぶらさがり1秒と23秒の話、ジムに行くために自分を律する話、どすこいすしずもうの話、ちょっとブームがすぎたものを好きになると、グッズ集めが難しい話などをしました。 

• SSL.com: Lessons Learned, Security Implications and Good Practices for Branded SubCAs 

  • https://www.ssl.com/article/lessons-learned-security-implications-and-good-practices-for-branded-subcas/ 

• 関連するBugzillaのスレッド 

  • https://bugzilla.mozilla.org/show_bug.cgi?id=1867851 

• Recent Entrust Compliance Incidents (google.com)  

  • https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/LhTIUMFGHNw 

• CA/Entrust Issues – MozillaWiki 

  • https://wiki.mozilla.org/CA/Entrust_Issues 

• 「どすこいすしずもう」公式チャンネル 

  • https://www.youtube.com/channel/UCdfXACHBNiuVR8f4PRwDrEA 

5月初旬、DigicertのEV証明書のBusiness Categoryに本来大文字のところが小文字になっている不備があったことが明らかになりました。BR違反として約1.1万枚が失効・再発行処理となったようですが、こうなるまでにドラマがあったようでした、という話をしました。その他、雑談では技術書典16でひとくちPKI Journal3を出した話、日本語でTLSのいい本が出た話→SSL/TLS実践入門(献本をいただきました！ありがとうございます！)、自宅で皆既日食観測できた、オーロラ観測チャレンジ、北米13年ゼミと17年ゼミの同時大量発生の話、人間の氷河期の生存戦略などについて話しました。

• 1894560 - DigiCert: Incorrect case in Business Category (mozilla.org)
• Amazon.co.jp: SSL/TLS実践入門──Webの安全性を支える暗号化技術の設計思想 WEB+DB PRESS plus eBook : 市原 創, 板倉 広明: Kindleストア
• 技術書典16 ひとくちPKI Journal 3 (無料です！)
• 珍獣図鑑（11）：17年に一度の大発生！ 周期ゼミの遺伝子に仕掛けられた“時計”を探せ

Let's Encryptの中間CAが新しい構成になる話をしました。なんとその数RSA5つ、ECDSA5つの計10個。それぞれで2つが稼働、3つがバックアップという構成をローテーションするそうです。以前あったHTTP Public Key Pinning (HPKP)をdiscouragesする意図もあるみたい。雑談では成果物、編み物、ルービックキューブ、ぶら下がり健康器の話をしました。 

• New Intermediate Certificates 

  • https://letsencrypt.org/2024/03/19/new-intermediate-certificates 

小ネタ集としてLEが新しく発表したCTサーバの新アーキテクチャ実装Sunlight、2024年のReal World Crypto学会でCTがLevchin Prizeを受賞、1字違いのプレーンテキストでのMD5衝突の話をしました。雑談ではテキサス&シアトル小旅行（テキサスの接待サボテン、シアトル散歩、シアトルはタコグッズ推し、インフレ、飛行機で映画何見る？、Kindle本セールなど）の話をしました。 

• Let's EncryptがCTサーバの新アーキテクチャ実装 Sunlight を発表しました。 

  • https://letsencrypt.org/2024/03/14/introducing-sunlight 

  • ボトルネックだったリレーショナルデータベースをやめた。 

  • まだブラウザから検証元として信頼はされてないようですがログ投入やモニターすることはもうできるみたいです 

• 3月末にReal World Cryptoという学会が行われまして、そこで今年のLevchin PrizeというのにCertificate Transpearencyのクリエイターたちが選ばれたようです。 

• RWC自体では耐量子暗号とか、時勢の緊張も相まってメッセージのE2E暗号化とかの話題が多かったように思いました。アブストラクトはWebサイトから見れます。 

  • https://rwc.iacr.org/2024/program.php 

• 1文字だけ違うアルファベットの文字列でMD5のハッシュが衝突する事例が見つかったようです 

  • https://twitter.com/realhashbreaker/status/1770161965006008570  

  • md5("TEXTCOLLBYfGiJUETHQ4hAcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak") = md5("TEXTCOLLBYfGiJUETHQ4hEcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak") 

• 集英社のKindle本50%ポイント還元セールでドクタースランプ、ドラゴンボール、鬼滅の刃、ワンピース全巻買いました（ひとけー） 

冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogleTrustedServiceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。

冒頭ではひとけーがSCIS2024行ってきてよかった話をしました(C509の話など)。2024年1月16日にChrome Root Program Policy, Version 1.5が公開され、ACMEによる自動化や鍵のマテリアルの新鮮さについての要件が加わったことなどを話しました。また、2024年1月下旬にGoogle Trusted Serviceで不適切な証明書が発行されたインシデントがあり、そのインシデントレポートの内容を見てみました。雑談では、三都屋のえびの餅、サイバーパンク屋台、水族館、美術館、博物館の話をしました。

• Google Trust Services のインシデントレポート

○ 1876593 - Google Trust Services: Failure to properly validate IP address (mozilla.org) https://bugzilla.mozilla.org/show_bug.cgi?id=1876593

• Chrome Root Programの新バージョンでてました。

○ Chrome Root Program Policy, Version 1.5

○ Last updated: 2024-01-16

○ https://www.chromium.org/Home/chromium-security/root-ca-policy/

○ Chrome Root Program Policy Version 1.5 (TRACKED CHANGES).docx - Google ドキュメント https://docs.google.com/document/d/1soL-ZFOp8LeUwvQjKlacf2GWuvjYJ1A7/edit#heading=h.gjdgxs

• 三都屋のお餅

○ https://kuromon-mitoya.com/product_list/mochi/

ひとけーが今年1/23-26に長崎で行われるSCIS2024で発表します。記事を出すことで自分の役割を果たしたと思っていたけど、対策を世の中にデリバリするにはもう一仕事必要そうだなとおもってもがいている話もちょっとしました。PKIネタではChromeがCTログサーバとして参照するのに可用性要件（90日平均で99%）を求めるようになった話をしました。雑談ではテキサス寒波到来、ゲーム捗った、パンを焼く、もち用アルミホイルなどの話をしました。

• 2024年　暗号と情報セキュリティシンポジウム（SCIS2024)

https://www.iwsec.org/scis/2024/

• New availability requirements for logs trusted by Chrome coming into effect March 31, 2024　https://groups.google.com/a/chromium.org/g/ct-policy/c/4G-lF2N8H7A/m/fJ4WgAunAQAJ

• Pillsbury　https://www.pillsbury.com/
• 東洋アルミ おもちを焼くホイル https://www.amazon.co.jp/%E6%9D%B1%E6%B4%8B%E3%82%A2%E3%83%AB%E3%83%9F-TOYO-ALUMINIUM-%E3%81%8A%E3%82%82%E3%81%A1%E3%82%92%E7%84%BC%E3%81%8F%E3%83%9B%E3%82%A4%E3%83%AB/dp/B0088B5I6O/