Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Certificate Transparency
Search
Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
350
Certificate Transparency
LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。
Kazuhiro NISHIYAMA
May 03, 2018
Tweet
Share
More Decks by Kazuhiro NISHIYAMA
See All by Kazuhiro NISHIYAMA
Ruby on Rails と私
znz
0
11
riscv64.rubyci.org internal
znz
0
11
Rubyの日本語リファレンスマニュアルの現在と未来
znz
0
55
devise-two-factorを4.xから5.xに上げた話
znz
0
250
docs.ruby-lang.org/ja/ の生成方法を変えた
znz
0
74
Ubuntuのriscv64版をqemuで動かした
znz
0
92
lilo.linux.or.jpをbusterからbullseyeに上げた
znz
0
95
小規模個人アプリをRails 7.xにバージョンアップした話
znz
0
83
Ruby リファレンスマニュアル改善計画 2022 進捗報告
znz
0
140
Other Decks in Technology
See All in Technology
Introduction to Bill One Development Engineer
sansan33
PRO
0
270
MCP とマネージド PaaS で実現する大規模 AI アプリケーションの高速開発
nahokoxxx
1
1k
室長の逆襲 :データ活用の陣地を増やすためのヒント
masatoshi0205
0
130
AIコードアシスタントとiOS開発
jollyjoester
1
200
毎晩の 負荷試験自動実行による効果
recruitengineers
PRO
5
200
本当にわかりやすいAIエージェント入門
segavvy
8
4.5k
AWS 怖い話 WAF編 @fillz_noh #AWSStartup #AWSStartup_Kansai
fillznoh
0
140
Bliki (ja), and the Cathedral, and the Bazaar
koic
5
760
ClaudeCodeにキレない技術
gtnao
1
930
Autify Company Deck
autifyhq
2
44k
How Do I Contact Jetblue Airlines® Reservation Number: Fast Support Guide
thejetblueairhelpsupport
0
210
今だから言えるセキュリティLT_Wordpress5.7.2未満を一斉アップデートせよ
cuebic9bic
2
180
Featured
See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Practical Orchestrator
shlominoach
189
11k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
840
A better future with KSS
kneath
238
17k
A Modern Web Designer's Workflow
chriscoyier
695
190k
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1k
4 Signs Your Business is Dying
shpigford
184
22k
Adopting Sorbet at Scale
ufuk
77
9.5k
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.8k
Unsuck your backbone
ammeep
671
58k
Transcript
Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1
Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録
1/10
何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10
対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate
Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10
SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension
(mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10
Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -
Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10
問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF
参照 6/10
検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)
7/10
GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert
for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10
発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10
参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。
Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1