Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Certificate Transparency

Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
340

Certificate Transparency

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

Kazuhiro NISHIYAMA

May 03, 2018
Tweet

More Decks by Kazuhiro NISHIYAMA

See All by Kazuhiro NISHIYAMA
Rubyの日本語リファレンスマニュアルの現在と未来
znz
0
41
devise-two-factorを4.xから5.xに上げた話
znz
0
160
docs.ruby-lang.org/ja/ の生成方法を変えた
znz
0
61
Ubuntuのriscv64版をqemuで動かした
znz
0
73
lilo.linux.or.jpをbusterからbullseyeに上げた
znz
0
78
小規模個人アプリをRails 7.xにバージョンアップした話
znz
0
66
Ruby リファレンスマニュアル改善計画 2022 進捗報告
znz
0
120
Rubyist Magazine Reboot
znz
0
180
History of Japanese Ruby reference manual, and future
znz
0
1.6k

Other Decks in Technology

See All in Technology
LINEギフトのLINEミニアプリアクセシビリティ改善事例
lycorptech_jp
PRO
0
320
開発現場とセキュリティ担当をつなぐ脅威モデリング
cloudace
0
130
Cloud Native PG 使ってみて気づいたことと最新機能の紹介 - 第52回PostgreSQLアンカンファレンス
seinoyu
2
250
20250325_Logic Apps / Power Automate の SharePoint コネクタの裏側を知る 〜Graph APIで直接操作してみよう〜
yutakaosada
0
110
アプリケーション固有の「ロジックの脆弱性」を防ぐ開発者のためのセキュリティ観点
flatt_security
39
15k
20250328_OpenAI製DeepResearchは既に一種のAGIだと思う話
doradora09
PRO
0
170
初めてのPostgreSQLメジャーバージョンアップ
kkato1
0
520
Zabbixチョットデキルとは!?
kujiraitakahiro
0
120
Re:VIEWで書いた「Compose で Android の edge-to-edge に対応する」をRoo Codeで発表資料にしてもらった
tomoya0x00
0
230
モンテカルロ木探索のパフォーマンスを予測する Kaggleコンペ解説 〜生成AIによる未知のゲーム生成〜
rist
4
1.2k
自分の軸足を見つけろ
tsuemura
1
150
Amazon EKS Auto ModeでKubernetesの運用をシンプルにする
sshota0809
0
130

Featured

See All Featured
A Modern Web Designer's Workflow
chriscoyier
693
190k
Faster Mobile Websites
deanohume
306
31k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.6k
Navigating Team Friction
lara
184
15k
Building Applications with DynamoDB
mza
94
6.3k
RailsConf 2023
tenderlove
29
1k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.7k
Done Done
chrislema
183
16k
GraphQLの誤解/rethinking-graphql
sonatard
70
10k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
25k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Music & Morning Musume
bryan
46
6.4k

Transcript

  1. Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1

  2. Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録

    1/10

  3. 何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10

  4. 対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate

    Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10

  5. SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension

    (mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10

  6. Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -

    Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10

  7. 問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF

    参照 6/10

  8. 検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)

    7/10

  9. GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert

    for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10

  10. 発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10

  11. 参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。

    Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1