Rabbit Slide Show

Certificate Transparency

Kazuhiro NISHIYAMA
2018-05-03

Description

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

Text

Page: 1

Certifcate Transparency
Kazuhiro NISHIYAMA
LILO&東海道らぐオフラインミーティング
2018/05/03
Powered by Rabbit 2.2.1

Page: 2

Certifcate Transparency とは?
CT, RFC 6962
証明書の透明性
証明書発行のログを CT ログサーバーに記録
1/10

Page: 3

何ができるか
意図しない証明書が発行されていないか監視
不正な証明書の発行を防げるわけではない
2/10

Page: 4

対応状況
Google Chrome で EV (Extended Validation) 証明
書では早くから必須だった
Google、Certifcate Transparency(CT)の適用
範囲をすべての証明書タイプに拡大へ|DigiCert
Blog 日本語版|DigiCert
2017年10月からは DV (Domain Validation) 証明書, OV
(Organization Validation) 証明書も必須
3/10

Page: 5

SCT: Signed Certifcate
Timestamp の提供方法
証明書に埋め込む (CA 側の対応)
TLS Extension (mod_ssl_ct, nginx-ct など Web
サーバー側で対応)
OCSP Stapling を利用 (CA 側の対応)
4/10

Page: 6

Let’s Encrypt の対応
Chain of Trust - Let’s Encrypt - Free SSL/TLS
Certifcates
ログサーバーへの登録自体は以前から対応
2018年3月29日以降埋め込みに対応
5/10

Page: 7

問題点
Pre-certifcate という変なものがある (省略)
ログに公開されている FQDN から情報漏洩の懸
念
参考文献の PDF 参照
6/10

Page: 8

検索サイト
https://transparencyreport.google.com/https/
certifcates?hl=ja
サブドメイン部分だけなどの検索ができない
https://crt.sh/
柔軟な検索ができる
IP アドレスでの検索もできる (1.1.1.1 など)
7/10

Page: 9

GitHub Pages
カスタムドメインの証明書が発行されていた。
GitHub Pages generated a (rogue?) TLS cert for
my own domain!
自分のドメインでも発行されていたので、 GitHub に
確認したところ、いくつかのドメインで試験的にやっ
ているという返事がきた。
8/10

Page: 10

発表後追記
5月1日から正式対応になっていました。
https://blog.github.com/2018-05-01-github-pages-
custom-domains-https/
9/10

Page: 11

参考文献
http://www.jnsa.org/seminar/pki-day/2016/data/
1-2_oosumi.pdf
Let’s EncryptのCertifcate Transparency対応 -
Apache 2.4系でHTTP/2対応サーバを構築してみ
るテスト。
Certifcate Transparency の仕組みと HPKP から
Expect-CT への移行 | blog.jxck.io
Powered by Rabbit 2.2.1
10/10

Other slides

Rubyの日本語リファレンスマニュアルの現在と未来 Rubyの日本語リファレンスマニュアルの現在と未来
Rubyの日本語リファレンスマニュアルの現在と未来
2024-10-05
devise-two-factorを4.xから5.xに上げた話 devise-two-factorを4.xから5.xに上げた話
devise-two-factorを4.xから5.xに上げた話
2024-08-24
docs.ruby-lang.org/ja/ の生成方法を変えた docs.ruby-lang.org/ja/ の生成方法を変えた
docs.ruby-lang.org/ja/ の生成方法を変えた
2024-06-13
Ubuntuのriscv64版をqemuで動かした Ubuntuのriscv64版をqemuで動かした
Ubuntuのriscv64版をqemuで動かした
2024-04-27
lilo.linux.or.jpをbusterからbullseyeに上げた lilo.linux.or.jpをbusterからbullseyeに上げた
lilo.linux.or.jpをbusterからbullseyeに上げた
2024-01-28
小規模個人アプリをRails 7.xにバージョンアップした話 小規模個人アプリをRails 7.xにバージョンアップした話
小規模個人アプリをRails 7.xにバージョンアップした話
2023-11-27
Ruby リファレンスマニュアル改善計画 2022 進捗報告 Ruby リファレンスマニュアル改善計画 2022 進捗報告
Ruby リファレンスマニュアル改善計画 2022 進捗報告
2023-03-25
Rubyist Magazine Reboot Rubyist Magazine Reboot
Rubyist Magazine Reboot
2023-02-18
History of Japanese Ruby reference manual, and future History of Japanese Ruby reference manual, and future
History of Japanese Ruby reference manual, and future
2022-09-10
qemuのriscv64にDebianを入れてみた qemuのriscv64にDebianを入れてみた
qemuのriscv64にDebianを入れてみた
2022-02-05
systemd 再入門 systemd 再入門
systemd 再入門
2021-04-17
Ruby 3.0.0 コネタ集 Ruby 3.0.0 コネタ集
Ruby 3.0.0 コネタ集
2021-03-24
livedoor天気API終了対応 livedoor天気API終了対応
livedoor天気API終了対応
2020-08-16
Wireguard 実践入門 Wireguard 実践入門
Wireguard 実践入門
2020-04-18
あまり知られていないRubyの便利機能 あまり知られていないRubyの便利機能
あまり知られていないRubyの便利機能
2019-11-30
workflow,job,step の使い分けの基準を考える workflow,job,step の使い分けの基準を考える
workflow,job,step の使い分けの基準を考える
2019-11-26
Dockerのオフィシャルrubyイメージとは? Dockerのオフィシャルrubyイメージとは?
Dockerのオフィシャルrubyイメージとは?
2019-11-22
チャットボットのススメ チャットボットのススメ
チャットボットのススメ
2019-09-15
Dokkuの紹介 Dokkuの紹介
Dokkuの紹介
2019-08-23
Action Cableで簡易チャットを作ってみた Action Cableで簡易チャットを作ってみた
Action Cableで簡易チャットを作ってみた
2019-07-13
Ruby svn to git Ruby svn to git
Ruby svn to git
2019-05-11
Ruby 2.6 Update Ruby 2.6 Update
Ruby 2.6 Update
2019-02-16
最近のrubyインストール方法 最近のrubyインストール方法
最近のrubyインストール方法
2018-12-01
Language Update 2018 - Ruby Language Update 2018 - Ruby
Language Update 2018 - Ruby
2018-08-26
systemdでよく使うサブコマンド systemdでよく使うサブコマンド
systemdでよく使うサブコマンド
2018-06-24
ブログを Octopress 2 + GitHub Pages から Jekyll 3 + AMP + Netlify に移行した話 ブログを Octopress 2 + GitHub Pages から Jekyll 3 + AMP + Netlify に移行した話
ブログを Octopress 2 + GitHub Pages から Jekyll 3 + AMP + Netlify に移行した話
2018-03-17
boot2docker の format-me の話 boot2docker の format-me の話
boot2docker の format-me の話
2018-01-28
lilo.linux.or.jp の話 (2017年12月) lilo.linux.or.jp の話 (2017年12月)
lilo.linux.or.jp の話 (2017年12月)
2017-12-17
ライセンス変更の話 ライセンス変更の話
ライセンス変更の話
2017-12-17
How to specify `frozen_string_literal: true` How to specify `frozen_string_literal: true`
How to specify `frozen_string_literal: true`
2017-09-19
lilo.linux.or.jp の話 (2017年8月) lilo.linux.or.jp の話 (2017年8月)
lilo.linux.or.jp の話 (2017年8月)
2017-08-27
GitLab + Dokku で作る CI/CD 環境 GitLab + Dokku で作る CI/CD 環境
GitLab + Dokku で作る CI/CD 環境
2017-07-29
stretchでのOpenSSHのTCP wrappersサポート stretchでのOpenSSHのTCP wrappersサポート
stretchでのOpenSSHのTCP wrappersサポート
2017-06-18
lilo.linux.or.jp の話 (2017年5月) lilo.linux.or.jp の話 (2017年5月)
lilo.linux.or.jp の話 (2017年5月)
2017-05-06
`frozen_string_literal` の話 `frozen_string_literal` の話
`frozen_string_literal` の話
2017-01-14
lilo.linux.or.jp の話 (2017年1月) lilo.linux.or.jp の話 (2017年1月)
lilo.linux.or.jp の話 (2017年1月)
2017-01-07
Certbotで無料TLSサーバー Certbotで無料TLSサーバー
Certbotで無料TLSサーバー
2016-12-10
Ruby 2.4.0 の主な非互換 Ruby 2.4.0 の主な非互換
Ruby 2.4.0 の主な非互換
2016-11-05
lilo.linux.or.jp の話 lilo.linux.or.jp の話
lilo.linux.or.jp の話
2016-08-14
lilo.linux.or.jp を wheezy から jessie にあげた話 lilo.linux.or.jp を wheezy から jessie にあげた話
lilo.linux.or.jp を wheezy から jessie にあげた話
2016-05-01
Ruby 2.3.0 の新機能について Ruby 2.3.0 の新機能について
Ruby 2.3.0 の新機能について
2016-01-09
dokku を本番環境で使ってみた話 dokku を本番環境で使ってみた話
dokku を本番環境で使ってみた話
2015-06-20
正規表現の \z の話 正規表現の \z の話
正規表現の \z の話
2015-06-13
boot2docker upgrade boot2docker upgrade
boot2docker upgrade
2014-11-14
Archaeology of Ruby: Removed Features Ruby (考古学 消された機能編) Archaeology of Ruby: Removed Features Ruby (考古学 消された機能編)
Archaeology of Ruby: Removed Features Ruby (考古学 消された機能編)
2014-09-19
正規表現の先読みについて 正規表現の先読みについて
正規表現の先読みについて
2014-03-29
migrate to magazine.rubyist.net migrate to magazine.rubyist.net
migrate to magazine.rubyist.net
2013-08-31
シェルスクリプトで簡易ping監視 シェルスクリプトで簡易ping監視
シェルスクリプトで簡易ping監視
2013-08-24
/etc/network/interfaces について /etc/network/interfaces について
/etc/network/interfaces について
2013-06-29
Ruby 2.0.0 での正規表現の新機能 Ruby 2.0.0 での正規表現の新機能
Ruby 2.0.0 での正規表現の新機能
2013-06-02
nadoka さんの m17n 対応のベストプラクティス nadoka さんの m17n 対応のベストプラクティス
nadoka さんの m17n 対応のベストプラクティス
2012-09-15
普段使っている須藤さん関連プロダクツ 普段使っている須藤さん関連プロダクツ
普段使っている須藤さん関連プロダクツ
さくらのVPSでIPv6設定 さくらのVPSでIPv6設定
さくらのVPSでIPv6設定