Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Certificate Transparency
Search
Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
350
Certificate Transparency
LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。
Kazuhiro NISHIYAMA
May 03, 2018
Tweet
Share
More Decks by Kazuhiro NISHIYAMA
See All by Kazuhiro NISHIYAMA
riscv64.rubyci.org internal
znz
0
7
Rubyの日本語リファレンスマニュアルの現在と未来
znz
0
51
devise-two-factorを4.xから5.xに上げた話
znz
0
200
docs.ruby-lang.org/ja/ の生成方法を変えた
znz
0
70
Ubuntuのriscv64版をqemuで動かした
znz
0
88
lilo.linux.or.jpをbusterからbullseyeに上げた
znz
0
90
小規模個人アプリをRails 7.xにバージョンアップした話
znz
0
78
Ruby リファレンスマニュアル改善計画 2022 進捗報告
znz
0
140
Rubyist Magazine Reboot
znz
0
200
Other Decks in Technology
See All in Technology
活きてなかったデータを活かしてみた話 / Shirokane Kougyou vol 19
sansan_randd
1
290
Agentic DevOps時代の生存戦略
kkamegawa
0
230
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
7.3k
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
6.4k
今からでも間に合う! 生成AI「RAG」再入門 / Re-introduction to RAG in Generative AI
hideakiaoyagi
1
170
「伝える」を加速させるCursor術
naomix
0
620
原則から考える保守しやすいComposable関数設計
moriatsushi
3
390
Grafana MCP serverでなんかし隊 / Try Grafana MCP server
kohbis
0
340
「規約、知識、オペレーション」から考える中規模以上の開発組織のCursorルールの 考え方・育て方 / Cursor Rules for Coding Styles, Domain Knowledges and Operations
yuitosato
6
1.7k
(新URLに移行しました)FASTと向き合うことで見えた、大規模アジャイルの難しさと楽しさ
wooootack
0
700
堅牢な認証基盤の実現 TypeScriptで代数的データ型を活用する
kakehashi
PRO
2
220
讓測試不再 BB! 從 BDD 到 CI/CD, 不靠人力也能 MVP
line_developers_tw
PRO
0
160
Featured
See All Featured
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.4k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
26k
The Straight Up "How To Draw Better" Workshop
denniskardys
233
140k
Music & Morning Musume
bryan
46
6.6k
Rebuilding a faster, lazier Slack
samanthasiow
81
9k
Code Review Best Practice
trishagee
68
18k
Git: the NoSQL Database
bkeepers
PRO
430
65k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
6
690
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Into the Great Unknown - MozCon
thekraken
39
1.8k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
The Pragmatic Product Professional
lauravandoore
35
6.7k
Transcript
Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1
Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録
1/10
何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10
対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate
Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10
SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension
(mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10
Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -
Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10
問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF
参照 6/10
検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)
7/10
GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert
for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10
発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10
参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。
Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1
znz
sansan_randd
kkamegawa
fullkaiten
sansan33
hideakiaoyagi
naomix
moriatsushi
kohbis
yuitosato
wooootack
kakehashi
line_developers_tw
marktimemedia
cassininazir
denniskardys
bryan
samanthasiow
trishagee
bkeepers
addyosmani
samlambert
thekraken
csswizardry
lauravandoore
