豚吐露@wiki
LetsEncrypt
最終更新:
ohden
-
view
Let's Encrypt のルート認証局移行問題の解説
担当:北海道情報セキュリティ勉強会(せきゅぽろ)
講師:漆嶌 賢二
Let's Encryptのルート認証局以降問題の解説
講師:漆嶌 賢二
Let's Encryptのルート認証局以降問題の解説
github/kjur/jsrsasign
→google OSS award
→google OSS award
Let's Encryptのルート認証局移行についてちょっと調べてみた
https://qiita.com/kjur/items/2fd72b6707497c7fc6c5/
https://qiita.com/kjur/items/2fd72b6707497c7fc6c5/
HTTPS、証明書、Let'sEncrypt
- HTTPS
デジタル証明書
- Let'sEncrypt
証明書:最低数千円有料
→無料で提供してくれる
→2016/4開始
→ISRGによるproject
→企業などの寄付で運営
→200万発行/day
→2億枚/dayの発行が可能
→2.4億siteが利用。
→IdentTrust:Let'sEncryptと提携
→chain
ISRG Root X1
└ R3
└ サーバー証明書
→の書き換えでトラブル
→運用変更のアナウンスが2転3転4転した...
→2018/8に主要ブラウザにISRG Root X1証明書が搭載された
→2019/7月予定→2021/5実施まで遅延。
サービス開始時にも同じようなことがあった。
→2015/6開始予定→2015/9開始
ISRG Root X1
└ Let'sEncrypt X1自前中間CA
└ サーバー証明書
↓
DST Root X3:IdentTrust
└ Let'sEncrypt X1自前中間CA
└ サーバー証明書
↓2018/8から
ISRG Root X1 or DST Root X3:IdentTrust
└ Let'sEncrypt X1自前中間CA
└ サーバー証明書
→無料で提供してくれる
→2016/4開始
→ISRGによるproject
→企業などの寄付で運営
→200万発行/day
→2億枚/dayの発行が可能
→2.4億siteが利用。
→IdentTrust:Let'sEncryptと提携
→chain
ISRG Root X1
└ R3
└ サーバー証明書
→の書き換えでトラブル
→運用変更のアナウンスが2転3転4転した...
→2018/8に主要ブラウザにISRG Root X1証明書が搭載された
→2019/7月予定→2021/5実施まで遅延。
サービス開始時にも同じようなことがあった。
→2015/6開始予定→2015/9開始
ISRG Root X1
└ Let'sEncrypt X1自前中間CA
└ サーバー証明書
↓
DST Root X3:IdentTrust
└ Let'sEncrypt X1自前中間CA
└ サーバー証明書
↓2018/8から
ISRG Root X1 or DST Root X3:IdentTrust
└ Let'sEncrypt X1自前中間CA
└ サーバー証明書
IdentTrustのroot証明書を切り捨てるとなったとき困る人が出てきた
→Android7.1.1以降からISRG Root X1搭載
→市場の3x%のAndroidがその証明書使えなくなる
→Android7.1.1以降からISRG Root X1搭載
→市場の3x%のAndroidがその証明書使えなくなる
証明書の検証
→RFC5280 6章に検証方法の例がある
→同じ結果ならアルゴリズムは自由。
→署名の連鎖、名前の連鎖、有効期限、基本成約(CA用か)、失効検証、アプリ用途ごとの検証
→androidは2021/9以降は有効期限を無視する
→Androidはトラスとアンカーの主体者と公開鍵しか検証に利用していない。
→信頼点:トラストアンカー→一般にルート証明書
→RFC5280 6章に検証方法の例がある
→同じ結果ならアルゴリズムは自由。
→署名の連鎖、名前の連鎖、有効期限、基本成約(CA用か)、失効検証、アプリ用途ごとの検証
→androidは2021/9以降は有効期限を無視する
→Androidはトラスとアンカーの主体者と公開鍵しか検証に利用していない。
→信頼点:トラストアンカー→一般にルート証明書
認証局としてやっていいのか?
2021/9以降何が起きるのか?
→IdentTrustの弱い鍵を破壊。
→CRL発行ができなくなる。
→CA監査をSchellman&Companyがやっても良いって言った。
→CABF BR、MSなどのRoot証明書を持つ各機関が文句を言ってない。
→Schellman&Companyて大丈夫なの?
2021/9以降何が起きるのか?
→IdentTrustの弱い鍵を破壊。
→CRL発行ができなくなる。
→CA監査をSchellman&Companyがやっても良いって言った。
→CABF BR、MSなどのRoot証明書を持つ各機関が文句を言ってない。
→Schellman&Companyて大丈夫なの?
Let'sEncryptがあればお金のかかる認証局はいらない?
Let'sEncrypt
→DV証明書:ドメイン名だけ表示されるサーバ証明書だけ発行してる。
→Let'sEncryptが発行できない証明書
→ドメインを持つ会社名も表示できるサーバ証明書
→TLSクライアント証明書
→メール用証明書
→コード署名証明書
→IoTなど機器証明書
→クライアント証明書の一種。接続している機器がホントにIoT機器だと証明できる。
Let'sEncrypt
→DV証明書:ドメイン名だけ表示されるサーバ証明書だけ発行してる。
→Let'sEncryptが発行できない証明書
→ドメインを持つ会社名も表示できるサーバ証明書
→TLSクライアント証明書
→メール用証明書
→コード署名証明書
→IoTなど機器証明書
→クライアント証明書の一種。接続している機器がホントにIoT機器だと証明できる。
古いAndroid(2.3.6~7.1.0)Userを救えた
→無料証明書で救われるuserは多い。
→監査、リスク上問題ないか?は疑問。
→無料証明書で救われるuserは多い。
→監査、リスク上問題ないか?は疑問。
更新日: 2023年08月17日 (木) 22時03分52秒