Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Certificate Transparency
Search
Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
270
Certificate Transparency
LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。
Kazuhiro NISHIYAMA
May 03, 2018
Tweet
Share
More Decks by Kazuhiro NISHIYAMA
See All by Kazuhiro NISHIYAMA
Ubuntuのriscv64版をqemuで動かした
znz
0
9
lilo.linux.or.jpをbusterからbullseyeに上げた
znz
0
22
小規模個人アプリをRails 7.xにバージョンアップした話
znz
0
16
Ruby リファレンスマニュアル改善計画 2022 進捗報告
znz
0
78
Rubyist Magazine Reboot
znz
0
81
History of Japanese Ruby reference manual, and future
znz
0
1.4k
qemuのriscv64にDebianを入れてみた
znz
0
88
systemd 再入門
znz
0
280
Ruby 3.0.0 コネタ集
znz
0
250
Other Decks in Technology
See All in Technology
M&A戦略を支えるデータマネジメント (MIDAS Tech Study #16 GENDA Komiyama)
kommy339
1
140
How to Lead? Testimonial of a Lead Android Engineer
oleur
1
120
uvを使ってストレスフリーな Python開発をしよう!
r74tech
0
230
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
37k
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
4
790
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
1.8k
Microsoft for Startups Founders Hub_20240429 update
daikikanemitsu
1
2.4k
Documentação de Produtos: Artefatos essenciais na prática
rigolon
1
190
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
5
18k
生成AIの変革の時代に、直近1年で直面した課題とその解決策
ktc_wada
1
740
require(ESM)とECMAScript仕様
uhyo
4
1k
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
0
1.9k
Featured
See All Featured
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k
How STYLIGHT went responsive
nonsquared
92
4.8k
Being A Developer After 40
akosma
67
580k
Designing the Hi-DPI Web
ddemaree
276
33k
YesSQL, Process and Tooling at Scale
rocio
165
13k
Building Effective Engineering Teams - LeadDev
addyosmani
32
1.9k
Raft: Consensus for Rubyists
vanstee
133
6.3k
Git: the NoSQL Database
bkeepers
PRO
423
63k
What the flash - Photography Introduction
edds
64
11k
Imperfection Machines: The Place of Print at Facebook
scottboms
261
12k
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Transcript
Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1
Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録
1/10
何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10
対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate
Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10
SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension
(mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10
Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -
Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10
問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF
参照 6/10
検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)
7/10
GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert
for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10
発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10
参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。
Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1