Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Certificate Transparency

Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
190

Certificate Transparency

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

Kazuhiro NISHIYAMA

May 03, 2018
Tweet

More Decks by Kazuhiro NISHIYAMA

See All by Kazuhiro NISHIYAMA
History of Japanese Ruby reference manual, and future
znz
0
1k
qemuのriscv64にDebianを入れてみた
znz
0
45
systemd 再入門
znz
0
170
Ruby 3.0.0 コネタ集
znz
0
150
livedoor天気API終了対応
znz
0
160
Wireguard 実践入門
znz
0
190
あまり知られていないRubyの便利機能
znz
0
190
workflow,job,step の使い分けの基準を考える
znz
0
140
Dockerのオフィシャルrubyイメージとは?
znz
0
37

Other Decks in Technology

See All in Technology
Exploring MapStore Release 2022.02: improved 3DTiles support and more
simboss
PRO
0
400
メドレー エンジニア採用資料/ Medley Engineer Guide
medley
3
5.1k
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 / DNS Pseudo-Random Subdomain Attack and mitigations
kazeburo
5
1.3k
ChatGPT for Hacking
anugrahsr
0
4.7k
ラズパイとGASで加湿器の消し忘れをLINEでリマインド&操作
minako__ph
0
150
はじめてスポンサー運営PMをやってみてわかった4つのこと
andpad
2
100
API連携に伴う規制と対応 / Regulations and responses to API linkage
moneyforward
0
170
地方自治体業務あるある ーアナログ最適化編-
y150saya
1
290
AWS re:Invent 2022で発表された新機能を試してみた ~Cloud OperationとSecurity~ / New Cloud Operation and Security Features Announced at AWS reInvent 2022
yuj1osm
1
220
PCI DSS に準拠したシステム開発
yutadayo
0
310
UEでPLATEAU触ってみた
41h0_shiho
0
240
データ分析基盤の要件分析の話(202201_JEDAI)
yabooun
0
400

Featured

See All Featured
JazzCon 2018 Closing Keynote - Leadership for the Reluctant Leader
reverentgeek
175
9.1k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
2
410
Web development in the modern age
philhawksworth
197
9.6k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
239
19k
KATA
mclloyd
12
9.7k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
15
1.2k
The Illustrated Children's Guide to Kubernetes
chrisshort
22
43k
Mobile First: as difficult as doing things right
swwweet
213
7.8k
GraphQLの誤解/rethinking-graphql
sonatard
39
7.8k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
128
8.8k
Infographics Made Easy
chrislema
235
17k
Practical Orchestrator
shlominoach
178
8.9k

Transcript

  1. Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1

  2. Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録

    1/10

  3. 何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10

  4. 対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate

    Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10

  5. SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension

    (mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10

  6. Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -

    Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10

  7. 問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF

    参照 6/10

  8. 検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)

    7/10

  9. GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert

    for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10

  10. 発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10

  11. 参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。

    Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1