Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Certificate Transparency

Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
330

Certificate Transparency

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

Kazuhiro NISHIYAMA

May 03, 2018
Tweet

More Decks by Kazuhiro NISHIYAMA

See All by Kazuhiro NISHIYAMA
Rubyの日本語リファレンスマニュアルの現在と未来
znz
0
28
devise-two-factorを4.xから5.xに上げた話
znz
0
110
docs.ruby-lang.org/ja/ の生成方法を変えた
znz
0
52
Ubuntuのriscv64版をqemuで動かした
znz
0
55
lilo.linux.or.jpをbusterからbullseyeに上げた
znz
0
65
小規模個人アプリをRails 7.xにバージョンアップした話
znz
0
50
Ruby リファレンスマニュアル改善計画 2022 進捗報告
znz
0
110
Rubyist Magazine Reboot
znz
0
150
History of Japanese Ruby reference manual, and future
znz
0
1.6k

Other Decks in Technology

See All in Technology
Bring Your Own Container: When Containers Turn the Key to EDR Bypass/byoc-avtokyo2024
tkmru
0
840
Kotlin Multiplatformのポテンシャル
recruitengineers
PRO
2
140
Evolving Architecture
rainerhahnekamp
3
250
商品レコメンドでのexplicit negative feedbackの活用
alpicola
1
320
2025年の挑戦 コーポレートエンジニアの技術広報/techpr5
nishiuma
0
130
OPENLOGI Company Profile for engineer
hr01
1
18k
Fabric 移行時の躓きポイントと対応策
ohata_ds
1
150
Godot Engineについて調べてみた
unsoluble_sugar
0
360
Oracle Base Database Service:サービス概要のご紹介
oracle4engineer
PRO
1
16k
ABWGのRe:Cap!
hm5ug
1
110
Unsafe.BitCast のすゝめ。
nenonaninu
0
190
【JAWS-UG大阪 reInvent reCap LT大会 サンバが始まったら強制終了】“1分”で初めてのソロ参戦reInventを数字で振り返りながら反省する
ttelltte
0
120

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
330
21k
Agile that works and the tools we love
rasmusluckow
328
21k
Bash Introduction
62gerente
610
210k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
Unsuck your backbone
ammeep
669
57k
Raft: Consensus for Rubyists
vanstee
137
6.7k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
500
Faster Mobile Websites
deanohume
305
30k
Why Our Code Smells
bkeepers
PRO
335
57k
GitHub's CSS Performance
jonrohan
1030
460k
Optimising Largest Contentful Paint
csswizardry
33
3k
Six Lessons from altMBA
skipperchong
27
3.6k

Transcript

  1. Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1

  2. Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録

    1/10

  3. 何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10

  4. 対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate

    Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10

  5. SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension

    (mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10

  6. Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -

    Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10

  7. 問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF

    参照 6/10

  8. 検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)

    7/10

  9. GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert

    for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10

  10. 発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10

  11. 参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。

    Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1