140 Views
March 29, 25
スライド概要
2024/12/19のRICORA LT会で話した内容です。
作成時の情報に基づきます。
参考文献
https://letsencrypt.org/2024/12/05/ending-ocsp/
Let’s Encryptの現在 Kattyan 2024/12/19 1
Let’s Encryptについて TLS 証明書を提供する非営利の認証局 発行枚数は5億を超えているらしい 名だたる企業がスポンサーを務めている 日本からは時雨堂とさくらインターネットがスポンサー Let’s Encryptなしに現在のWebは成り立たない 2
ブラウザの動向 Google Chrome 115からHTTPS Upgradeを導入して、強制的にTLS通信を サポートしているなら利用する Firefoxも同様の機能を導入済み これができたのもTLS証明書を気軽に発行できるようにしたLet’s Encryptの成 果 3
証明局の運用について 実はかなり厳しい基準がある ミスったりすると適切な処理を行わなければブラウザからルート証明書を無効化さ れる Let’s Encryptも2020年辺りにやらかしている 日本政府も2018年辺りにGPKI発行のルート証明書を各種ベンダーにプリインス トール申請をしていたがMozillaが認めなかったため、計画がぽしゃった。 (MozillaのキーチェーンはAndroidやLinuxで利用されている) 4
OCSPをやめると発表 証明書の有効性を確認するために使うプロトコル やめる理由としてはウェブサイト訪問時にOCSPレスポンダーを運営するCAへの照 会がされることにより、CAがIPアドレスと訪問先ウェブサイトを把握できるプライバ シーリスク CRLへ一本化する MSがルート証明書の要件から外したのがきっかけといわれている 5
暗号スイートについて CRYPTRECというNICT, IPA, NISCといった国のセキュリティをやっている機関 が集まった機関で決めているのを参考にすると良い 6
有効期間が6日間の証明書を始めるらしい 今までは90日間の有効期限だった 鍵が漏洩した場合の露出時間を最小限に抑えることができるアップデート 現在は1日に500万件の証明書を発行しているらしい!? 証明書の失効確認が将来的にはなくなるかも Certbot or Legoで自動化しているから大丈夫でしょうとのことです 7