Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Certificate Transparency

109 views

Published on

LILO&東海道らぐオフラインミーティングで Certificate Transparency (証明書の透明性) についての話をした時の発表資料です。

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Certificate Transparency

  1. 1. Certificate Transparency Kazuhiro NISHIYAMA LILO&東海道らぐオフラインミーティング 2018/05/03 Powered by Rabbit 2.2.1
  2. 2. Certificate Transparency とは? CT, RFC 6962 証明書の透明性 証明書発行のログを CT ログサーバーに記録 1/10
  3. 3. 何ができるか 意図しない証明書が発行されていないか監視 不正な証明書の発行を防げるわけではない 2/10
  4. 4. 対応状況 Google Chrome で EV (Extended Validation) 証明 書では早くから必須だった Google、Certificate Transparency(CT)の適用 範囲をすべての証明書タイプに拡大へ|DigiCert Blog 日本語版|DigiCert 2017年10月からは DV (Domain Validation) 証明書, OV (Organization Validation) 証明書も必須 3/10
  5. 5. SCT: Signed Certificate Timestamp の提供方法 証明書に埋め込む (CA 側の対応) TLS Extension (mod_ssl_ct, nginx-ct など Web サーバー側で対応) OCSP Stapling を利用 (CA 側の対応) 4/10
  6. 6. Let’s Encrypt の対応 Chain of Trust - Let’s Encrypt - Free SSL/TLS Certificates ログサーバーへの登録自体は以前から対応 2018年3月29日以降埋め込みに対応 5/10
  7. 7. 問題点 Pre-certificate という変なものがある (省略) ログに公開されている FQDN から情報漏洩の懸 念 参考文献の PDF 参照 6/10
  8. 8. 検索サイト https://transparencyreport.google.com/https/ certificates?hl=ja サブドメイン部分だけなどの検索ができない https://crt.sh/ 柔軟な検索ができる IP アドレスでの検索もできる (1.1.1.1 など) 7/10
  9. 9. GitHub Pages カスタムドメインの証明書が発行されていた。 GitHub Pages generated a (rogue?) TLS cert for my own domain! 自分のドメインでも発行されていたので、 GitHub に 確認したところ、いくつかのドメインで試験的にやっ ているという返事がきた。 8/10
  10. 10. 発表後追記 5月1日から正式対応になっていました。 https://blog.github.com/2018-05-01-github-pages- custom-domains-https/ 9/10
  11. 11. 参考文献 http://www.jnsa.org/seminar/pki-day/2016/data/ 1-2_oosumi.pdf Let’s EncryptのCertificate Transparency対応 - Apache 2.4系でHTTP/2対応サーバを構築してみ るテスト。 Certificate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io 10/10Powered by Rabbit 2.2.1

×