OCSP

IETFやCAB Forumで有効期限の短い証明書(Short-lived Certificate)について議論があるようなので軽く眺めておく詳しい人は補足いただけると嬉しいです 背景 Googleでは、Webをより安全にするためにWeb PKIのポリシーについて様々な取り組みを行っています。 www.chromium.orgその取り組みのなかにはCAが証明書の発行ポリシーに関するものもあります。有効期間の短い Short-lived証明書 の利用を促し、より自動化を促進するために、CA/Browser ForumのBaseline Requirementsに対して提案を行っています。具体的な…

2023年5月22日～2023年5月28日に読んだ中で気になったニュースとメモ書き（TLSらじお*1第107回の原稿）です。 [Google Trust Servicesのアップデート] [Meta社のGDPR違反] [その他のニュース] ▼local-ssl-proxy ▼10万量子ビットへの計画 ▼サーバ証明書の有効期限の行方 ▼AWS APIのTLS1.3対応 ▼ISRG10周年 ▼GoのQUIC対応 ▼Chrome Root Programブログ ▼CryptoLyzer ▼証明書ビューアでSCT [暗認本：06安全性] [まとめ] *1:TLSらじおは社内勉強会です。このブログを読み…

certbotの更新がエラーになってて、エラーアラートが出て、調べたらOCSPが参照できてなかった。 LetsEncryptのOCSPがブロックされる 調べてみると、他の方でも同様のエラーが発生しており。r3.o.lencr.org の名前解決やr3.o.lencr.orgへの接続がブロックされることがある模様。 https://community.letsencrypt.org/t/r3-o-lencr-org-is-seen-as-malware/153205 https://letsencrypt.org/docs/lencr.org/ LetsEncryptでも、Why is my c…

2023年5月15日～2023年5月21日に読んだ中で気になったニュースとメモ書き（TLSらじお*1第106回の原稿）です。 [CTログのビット反転] [NIST SP 1800-16] [CAAレコードの実態] [CAは信頼できるか？] [その他のニュース] ▼ACMEフローチャート ▼Certify v6.0 ▼OpenSSL s_clientのQUICサポート ▼DNSCrypt ▼ARIのハッシュアルゴリズム ▼TLS 1.2 is Frozen ▼ECDHE+Kyber ▼Cloudflare UniversalSSLの障害 ▼CloudflareでmTLS ▼技術書典14 ▼X.5…

2023年4月24日～2023年4月30日に読んだ中で気になったニュースとメモ書き（TLSらじお第103回の原稿）です。 [Q1 2023 Summary from Chrome Security] [ARIの挙動] [その他のニュース] ▼NIST SP1800-38A ▼ACMの動的中間証明書への移行プロジェクト ▼省ラウンドChaChaへの攻撃 ▼SSH over QUIC ▼機械学習の活用 ▼ひとくちPKI 54&55 [暗認本：03認証] [まとめ]

PKIを構成するOCSPを利用する目的はどれか。 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。 ディジタル証明書から生成した鍵情報の交換がOCSPクライアントとOCSPレスポンダの間で失敗した際，認証状態を確認する。 ディジタル証明書の失効情報を問い合わせる。 有効期限が切れたディジタル証明書の更新処理の進捗状況を確認する。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解答 ウ 解説 誤って破棄してしまった秘密鍵の再発行処理の進捗状況を問い合わせる。OCSPは、ディジタル証明書の失効を確認するためのプロ…

2023年4月3日～2023年4月9日に読んだ中で気になったニュースとメモ書き（TLSらじお第100回の前半用原稿）です。 [Levchin Prize 2023] [CloudflareのmTLSバグ] [OCSPレスポンスのSCT] [その他のニュース] ▼e-Tugra認証局のその後 ▼BoringSSLのKyber対応 ▼IPAサイト改変後のリンク集 ▼サブドメインACMEのドラフト ▼HTTPSオンリーモードの強制 [まとめ]

昨年末 「そうだ、ITストラテジスト資格取ろう」 と思い立って3ヶ月。 試験まであと10日となりました。 今回の作戦は、 「共通午前I合格」 です。 共通午前Iは、一度合格すると2年間は、受験が免除されます。 今回共通午前Iに合格して、来年までの1年間は残りの試験勉強に集中する、という筋書きです。 ところがこの共通午前Iがなかなか難しくてですね…。 まだ模擬試験で合格できてないのです。 という訳で、俺的チートシートを作ってみました。 もし誰かの役に立てば幸いです。 ファジング: ファジングとは、ソフトウェアテストの手法の一つ。 ファズ（fuzz）と呼ばれる通常想定されていない「不正データ」「予…

2023年3月27日～2023年4月2日に読んだ中で気になったニュースとメモ書き（TLSらじお第99回の前半用原稿）です。 [TLS WG 116概要] [TLS WG 116 TLS1.2非推奨について] [CRYPTREC暗号リスト改定] [その他のニュース] ▼Bulletproof TLS Newsletter #99 ▼Keyless SSL ▼証明書ポリシー検証のドラフト ▼形式的安全性検証ツールProVerif ▼IETF maprg ▼ARI対応クライアント ▼Java 20 [まとめ]

2023年3月20日～2023年3月26日に読んだ中で気になったニュースとメモ書き（TLSらじお第98回の前半用原稿）です。 [TLS WG: TLS 1.2 deprecation] [SectigoのCT障害] [ACME Renewal Information] [その他のニュース] ▼AWS ALBのTLS1.3サポート ▼OpenSSL CVE-2023-0464 ▼QUICダッシュボード ▼Cloudflareの耐量子暗号サポート記事日本語版 [まとめ]

OCSPクライアントとOCSPレスポンダとの通信に関する記述のうち，適切なものはどれか。 ディジタル証明書全体をOCSPレスポンダに送信し，その応答でディジタル証明書の有効性を確認する。 ディジタル証明書全体をOCSPレスポンダに送信し，その応答としてタイムスタンプトークンの発行を受ける。 ディジタル証明書のシリアル番号，証明書発行者の識別名（DN）のハッシュ値などをOCSPレスポンダに送信し，その応答でディジタル証明書の有効性を確認する。 ディジタル証明書のシリアル番号，証明書発行者の識別名（DN）のハッシュ値などをOCSPレスポンダに送信し，その応答としてタイムスタンプトークンの発行を受け…