2024年9月30日～2024年10月6日に読んだ中で気になったニュースとメモ書きです。

• [SMTP Downgrade Attacks and MTA-STS]
• [その他のニュース]
  • ▼OCSPサポート停止は衝撃的？
  • ▼Trust Tussle
  • ▼TLS for IoT in PQ world
  • ▼AzureのTLS1.0/1.1廃止
  • ▼TLS FATT Process
• [おわりに]

[SMTP Downgrade Attacks and MTA-STS]

こちらのツイートから。

SMTP Downgrade Attacks and MTA-STShttps://t.co/E2wvQEfIzP

— Frank ⚡ (@jedisct1) 2024年10月2日

リンク先はこちら。

alexsci.com

HTTPの場合、TLSのハンドシェイクを行ってからHTTPでの接続が始まる。一方SMTPの場合、SMTPの接続を始めてからTLSでの接続が始まるため、中間者攻撃でTLSの利用を拒否されるダウングレード攻撃の危険性がある。

これを防止するためにMTA-STS（Mail Transfer Agent - Strict Transport Security）という仕組みがあり、HTTPのHSTSのように、DNSを通じてTLSの利用を強制することができるらしい。が、MTA-STSはGmail、Outlook.com、Proton Mailでサポートされているものの、Yahoo MailやAmazon SES、Fastmailなどではサポートされていないとのこと。

learn.microsoft.com

[その他のニュース]

▼OCSPサポート停止は衝撃的？

こちらのツイートから。

OCSPって何? という方が多いと思いますが、ラムダノートから出ている「プロフェッショナルTLS＆PKI改題第2版」の6.11.4 OCSPに素晴らしい解説があります。表面的な解説にとどまらず、OCSPの微妙さについても言及があるので、このニュースに関する理解の助けになります。https://t.co/qTBxexGY5lhttps://t.co/JHhJkjY9sa

— 徳丸 浩 (@ockeghem) 2024年9月30日

同書を読んでいれば、Let's Encryptの決定が「衝撃的な声明」では決してなく、「まぁそうなるよね」くらいの感覚でいられます。

— 徳丸 浩 (@ockeghem) 2024年9月30日

リンク先はこちら。

xtech.nikkei.com

まあ日経はNVIDIAを謎のAI半導体メーカーとか書いちゃうし...。プライバシー面やブラウザのデフォルトサポートの有無とかの問題で、失効確認はOCSPよりCRLにトレンドが来てるので、そんなに衝撃的でもない気がする。

▼Trust Tussle

こちらのツイートから。

IETFTLS WGの中間会議、Trust Tussleというテーマで話してるので後でスライド見ておく (PDF)
- https://t.co/o38Tc5DTaq
- https://t.co/kECVqT8LRU
- https://t.co/5Wz7CLUBF8

— ゆき (@flano_yuki) 2024年10月2日

リンク先はこちら。

https://datatracker.ietf.org/meeting/interim-2024-tls-01/materials/slides-interim-2024-tls-01-sessa-trust-tussle-00

https://datatracker.ietf.org/meeting/interim-2024-tls-01/materials/slides-interim-2024-tls-01-sessa-the-trust-tussle-is-not-a-struggle-00

https://datatracker.ietf.org/meeting/interim-2024-tls-01/materials/slides-interim-2024-tls-01-sessa-solving-the-trust-tussle-00

Tussleは格闘とか論争っていう意味っぽい。クライアントとサーバーが信頼を構築するのに、ルートストアに含まれるCAが重要になる。しかし、ルートストアごとに信頼するCAが異なるが、クライアントとサーバーの双方にとってこれでいいのか？という話っぽい。古いクライアントをサポートし続けなければならない問題とか、新しいセキュリティ要件を必要とするサーバーの問題とか。

ルートストアごとのCA分布図が興味深い。マイクロソフトが意外とゆるい、と言えるのか？Appleが厳しそう。

▼TLS for IoT in PQ world

こちらのツイートから。

[Revised] On TLS for the Internet of Things, in a Post Quantum world (Michael Scott) https://t.co/QHt0gI8Zu2

— IACR ePrint Updates (@Lhree) 2024年10月3日

リンク先はこちら。

eprint.iacr.org

IoT用にメモリ使用量が少なくなるように、C++とRustでTLS1.3を実装したとのこと。自分の実装の参考にさせてもらおう...。

github.com

▼AzureのTLS1.0/1.1廃止

こちらのツイートから。

軽い気持ちで書き始めたら大作になってしまった・・・！TLS 1.2 以降に移行して！ #azure / 2024/10/31 に多くの Azure サービスで TLS 1.0 / TLS 1.1 サポートが廃止されるので対応する - しばやん雑記 https://t.co/Kzoj9BMq8P

— Tatsuro Shibamura (@shibayan) 2024年10月4日

リンク先はこちら。

blog.shibayan.jp

Azure何もわからないので、サービス名見てもあまりピンとこない...。

Application Gatewayとかエンドユーザーにも影響があるサービスはまだ先っぽい。そういえばAWSのALBもまだTLS1.0サポートしてるな...あれはいつ廃止されるんだろう。

▼TLS FATT Process

こちらのツイートから。

TLSのFATT Processばなし、追えてない...https://t.co/RaoYu7c56E

— ゆき (@flano_yuki) 2024年10月4日

リンク先はこちら、

mailarchive.ietf.org

以下のブログによると、FATTはFormal Analysis Triage Teamのことっぽい。レビューを匿名にすべきか、でもネットで炎上したりするから...みたいな話？透明性はある方がいいと思うけど、「誰が言うか」の問題もあるから難しい...。

blog.unasuke.com

議事録もチラッと見たけどよく分からず...。

datatracker.ietf.org

[おわりに]

MTA-STSの件で思ったけど、HTTP以外のTLS利用、そういえばよくわかってないなあ...SMTP以外だとFTPとか？冬休みに調べてみようかな...。

ランキング参加中

プログラミング