Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Certificate Transparency

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Kazuhiro NISHIYAMA Kazuhiro NISHIYAMA
May 03, 2018
Technology
380
1

Certificate Transparency

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

Avatar for Kazuhiro NISHIYAMA

Kazuhiro NISHIYAMA

May 03, 2018

More Decks by Kazuhiro NISHIYAMA

See All by Kazuhiro NISHIYAMA
Rubyの配布パッケージの変遷
Avatar for Kazuhiro NISHIYAMA znz
0
17
Headscale + Tailscale に移行中
Avatar for Kazuhiro NISHIYAMA znz
0
59
Ruby on Rails と私
Avatar for Kazuhiro NISHIYAMA znz
0
72
riscv64.rubyci.org internal
Avatar for Kazuhiro NISHIYAMA znz
0
58
Rubyの日本語リファレンスマニュアルの現在と未来
Avatar for Kazuhiro NISHIYAMA znz
0
110
devise-two-factorを4.xから5.xに上げた話
Avatar for Kazuhiro NISHIYAMA znz
0
410
docs.ruby-lang.org/ja/ の生成方法を変えた
Avatar for Kazuhiro NISHIYAMA znz
0
110
Ubuntuのriscv64版をqemuで動かした
Avatar for Kazuhiro NISHIYAMA znz
0
140
lilo.linux.or.jpをbusterからbullseyeに上げた
Avatar for Kazuhiro NISHIYAMA znz
0
140

Other Decks in Technology

See All in Technology
プラットフォームエンジニア ワークショップ/ platform-workshop
Avatar for Databricks Japan databricksjapan
0
160
価格.comをAI駆動で全面刷新する ー 30年分の技術的負債を返し、次の30年の土台をつくる ー
Avatar for tkyowa tkyowa
8
5.4k
関西に縁あるMicrosoft MVPsが語るCopilotの未来
Avatar for Kaz Asada | しがない情シス kasada
0
980
AIを「創る」と「使う」の循環 — HRテックが実践するリアルなAI組織実装
Avatar for Taketo Sasaki taketo957
0
280
先取りMaven4 ~16年ぶりのメジャーアップデート、その進化とは?~
Avatar for 荻原利雄 ogiwarat
0
120
Databricks における 生成AIガバナンスの実践
Avatar for Takaaki Yayoi taka_aki
1
150
地元にいないローカルオーガナイザーの立ち回り
Avatar for uvb_76 uvb_76
1
430
運用を見据えたAIエージェント設計実践
Avatar for amacbee amacbee
0
1.6k
マーケットプレイス版Oracle WebCenter Content For OCI
Avatar for oracle4engineer oracle4engineer
PRO
5
1.8k
Claude code Orchestra
Avatar for Taisei Ozaki ozakiomumkj
3
890
BigQuery の Cross-cloud Lakehouse への歩み
Avatar for Tomonori Hayashi / ぴーはや phaya72
2
330
大規模災害時でも高い信頼性を維持するアプリケーション基盤の実現/nikkei-tech-talk46
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
130

Featured

See All Featured
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
27k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
7
36k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
360
30k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
390
Navigating the moral maze — ethical principles for Al-driven product design
Avatar for Skipper Chong Warson skipperchong
2
380
HDC tutorial
Avatar for Michiel Stock michielstock
2
680
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
660
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
66
8.5k
Imperfection Machines: The Place of Print at Facebook
Avatar for Scott Boms scottboms
270
14k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k
Docker and Python
Avatar for Tania Allard trallard
47
3.9k
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
310

Transcript

  1. Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1

  2. Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録

    1/10

  3. 何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10

  4. 対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate

    Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10

  5. SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension

    (mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10

  6. Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -

    Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10

  7. 問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF

    参照 6/10

  8. 検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)

    7/10

  9. GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert

    for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10

  10. 発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10

  11. 参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。

    Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1