Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Certificate Transparency

D0260637093bc53a82195678fd2ba4c3?s=47 Kazuhiro NISHIYAMA
May 03, 2018
Technology
1
160

Certificate Transparency

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

D0260637093bc53a82195678fd2ba4c3?s=128

Kazuhiro NISHIYAMA

May 03, 2018
Tweet

More Decks by Kazuhiro NISHIYAMA

See All by Kazuhiro NISHIYAMA
qemuのriscv64にDebianを入れてみた
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
30
systemd 再入門
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
130
Ruby 3.0.0 コネタ集
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
110
livedoor天気API終了対応
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
120
Wireguard 実践入門
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
150
あまり知られていないRubyの便利機能
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
150
workflow,job,step の使い分けの基準を考える
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
110
Dockerのオフィシャルrubyイメージとは?
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
36
チャットボットのススメ
D0260637093bc53a82195678fd2ba4c3?s=48 znz
0
140

Other Decks in Technology

See All in Technology
Microsoft Data Analytics trends : ”Lakehouse” , ”Data Mesh"
0d7a3b61c5c1f64a50136cf4bb5702b7?s=48 ryomaru0825
2
120
EC/CRMの自社サービス開発をマネジメントするようになって1年でやってきたこととこれから / devio2022-takano-sho-road-to-good-development-team-management
Fee058832252e72722b8b03073ff6324?s=48 masaru_b_cl
0
400
SPAとWebアプリケーションでCognitoの使い方はどう変わるのか? / How do we use cognito with SPA and web applications?
7d75345644fa75da12a5e5215ac2352a?s=48 kitano_yuichi
0
370
DBRE 活動と information_schema
9513a9cc8ee9b5f2a8b4a5a914da8411?s=48 _awache
0
250
私のAWS愛を聞け! ~ここが好きだよStep Functions~ #devio2022
808ce3d41280c085f8bdc27dce7ea8fb?s=48 kongmingstrap
0
280
20220728_新資格『SAP on AWS - Specialty 認定』ってどんな資格?/about-SAP-on-AWS-Specialty
97b3cca999b52cb5296675ac0a5c12cd?s=48 emiki
1
420
20220731 如何跟隨開源技術保持你的職涯發展
D907136acebc72f1df878541b26f271a?s=48 pichuang
0
120
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
10
19k
eBPFで実現するコンテナランタイムセキュリティ / Container Runtime Security with eBPF
2f73f93f91c4401b0baf12029226a681?s=48 tobachi
PRO
5
1.6k
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
107ea34bd4da51e40f1c30b9ca0c459e?s=48 inomasosan
1
410
テスト自動化を最速で軌道に乗せるために
6f8c7b050e551df51ac90c013eee164f?s=48 nozomiito
0
130
経験者が話す!クラウド接続の3つの注意点と最新情報
61c616e83bef28a1cd2666439ebf334b?s=48 sbtechnight
0
300

Featured

See All Featured
Build your cross-platform service in a week with App Engine
5f83ef806155b403c3393160ce51f955?s=48 jlugia
219
17k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
107
16k
Fantastic passwords and where to find them - at NoRuKo
8ec1383b240b5ba15ffb9743fceb3c0e?s=48 philnash
27
1.6k
What’s in a name? Adding method to the madness
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
11
1.6k
Pencils Down: Stop Designing & Start Developing
79acae287842acf29084005533a7fb3b?s=48 hursman
113
9.8k
YesSQL, Process and Tooling at Scale
D09fad3e36ae6841f54820be0e907f7a?s=48 rocio
157
12k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
39
13k
Principles of Awesome APIs and How to Build Them.
B47b288784fda77a94aeb234ca743c24?s=48 keavy
113
15k
A Modern Web Designer's Workflow
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
689
180k
10 Git Anti Patterns You Should be Aware of
Dafc4723e9a1c067796c0fec6f509774?s=48 lemiorhan
638
52k
How to name files
0a4f62e90c976eeb44d33add75cca5af?s=48 jennybc
40
63k
Designing Dashboards & Data Visualisations in Web Apps
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
49k

Transcript

  1. Certifcate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1

  2. Certifcate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録

    1/10

  3. 何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10

  4. 対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certifcate

    Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10

  5. SCT: Signed Certifcate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension

    (mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10

  6. Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt -

    Free SSL/TLS Certifcates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10

  7. 問題点 Pre-certifcate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF

    参照 6/10

  8. 検索サイト https://transparencyreport.google.com/https/ certifcates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など)

    7/10

  9. GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert

    for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10

  10. 発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10

  11. 参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertifcate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。

    Certifcate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10 Powered by Rabbit 2.2.1