Enviar pesquisa
Carregar
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
•
28 gostaram
•
28,605 visualizações
Kenji Urushima
Seguir
2015年6月12日に有志で行なったCertificate Transparencyに関する勉強会の資料です。
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 43
Baixar agora
Baixar para ler offline
Recomendados
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
Amazon Web Services
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
Naohiro Fujie
Best Practices for Running PostgreSQL on AWS
Best Practices for Running PostgreSQL on AWS
Amazon Web Services Japan
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
データ分析基盤を支えるエンジニアリング
データ分析基盤を支えるエンジニアリング
Recruit Lifestyle Co., Ltd.
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
Shuji Kikuchi
Recomendados
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
(SPOT301) AWS Innovation at Scale | AWS re:Invent 2014
Amazon Web Services
SSIとDIDで何を解決したいのか?(β版)
SSIとDIDで何を解決したいのか?(β版)
Naohiro Fujie
Best Practices for Running PostgreSQL on AWS
Best Practices for Running PostgreSQL on AWS
Amazon Web Services Japan
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
AWS Black Belt Online Seminar AWS Direct Connect
AWS Black Belt Online Seminar AWS Direct Connect
Amazon Web Services Japan
データ分析基盤を支えるエンジニアリング
データ分析基盤を支えるエンジニアリング
Recruit Lifestyle Co., Ltd.
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
[AKIBA.AWS] NLBとPrivateLinkの仕様に立ち向かう
Shuji Kikuchi
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連
Kieko Sakurai
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
Ito Takayuki
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
Demystifying Identities for Azure Kubernetes Service
Demystifying Identities for Azure Kubernetes Service
Toru Makabe
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon Kinesis
Amazon Web Services Japan
セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2
Kentaro Mitsuyasu
Cognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみた
Takafumi Kondo
深い親子関係のテーブル設計
深い親子関係のテーブル設計
琢磨 三浦
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
日本マイクロソフト株式会社
AWS CognitoからAuth0への移行パターン4つ
AWS CognitoからAuth0への移行パターン4つ
株式会社スタジオメッシュ
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
NTT DATA Technology & Innovation
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
パスワードのいらない世界へ FIDO認証の最新状況
パスワードのいらない世界へ FIDO認証の最新状況
FIDO Alliance
第4回web技術勉強会 暗号技術編その2
第4回web技術勉強会 暗号技術編その2
tzm_freedom
第5回web技術勉強会 暗号技術編その3
第5回web技術勉強会 暗号技術編その3
tzm_freedom
Mais conteúdo relacionado
Mais procurados
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連
Kieko Sakurai
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Hitachi, Ltd. OSS Solution Center.
Keycloak拡張入門
Keycloak拡張入門
Hiroyuki Wada
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
Ito Takayuki
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
Demystifying Identities for Azure Kubernetes Service
Demystifying Identities for Azure Kubernetes Service
Toru Makabe
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
Amazon Web Services Japan
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon Kinesis
Amazon Web Services Japan
セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2
Kentaro Mitsuyasu
Cognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみた
Takafumi Kondo
深い親子関係のテーブル設計
深い親子関係のテーブル設計
琢磨 三浦
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
Hitachi, Ltd. OSS Solution Center.
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
日本マイクロソフト株式会社
AWS CognitoからAuth0への移行パターン4つ
AWS CognitoからAuth0への移行パターン4つ
株式会社スタジオメッシュ
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Amazon Web Services Japan
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
NTT DATA Technology & Innovation
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
パスワードのいらない世界へ FIDO認証の最新状況
パスワードのいらない世界へ FIDO認証の最新状況
FIDO Alliance
Mais procurados
(20)
知っておいて損はない AWS法務関連
知っておいて損はない AWS法務関連
Keycloakのステップアップ認証について
Keycloakのステップアップ認証について
Keycloak拡張入門
Keycloak拡張入門
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
CircleCIのinfrastructureを支えるTerraformのCI/CDパイプラインの改善
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
IAM Roles Anywhereのない世界とある世界(2022年のAWSアップデートを振り返ろう ~Season 4~ 発表資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
Demystifying Identities for Azure Kubernetes Service
Demystifying Identities for Azure Kubernetes Service
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2016 AWS上でのActive Directory構築
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon Kinesis
セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2
Cognito、Azure ADと仲良くしてみた
Cognito、Azure ADと仲良くしてみた
深い親子関係のテーブル設計
深い親子関係のテーブル設計
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
M04_失敗しないための Azure Virtual Desktop 設計ガイド
M04_失敗しないための Azure Virtual Desktop 設計ガイド
AWS CognitoからAuth0への移行パターン4つ
AWS CognitoからAuth0への移行パターン4つ
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
20190410 AWS Black Belt Online Seminar Amazon Elastic Container Service for K...
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
パスワードのいらない世界へ FIDO認証の最新状況
パスワードのいらない世界へ FIDO認証の最新状況
Destaque
第4回web技術勉強会 暗号技術編その2
第4回web技術勉強会 暗号技術編その2
tzm_freedom
第5回web技術勉強会 暗号技術編その3
第5回web技術勉強会 暗号技術編その3
tzm_freedom
Analytics CloudとEmbulkを使った社会的データの分析
Analytics CloudとEmbulkを使った社会的データの分析
tzm_freedom
私はここでつまづいた! Oracle database 11g から 12cへのアップグレードと Oracle Database 12c の新機能@201...
私はここでつまづいた! Oracle database 11g から 12cへのアップグレードと Oracle Database 12c の新機能@201...
yoshimotot
第2回Web技術勉強会 webパフォーマンス改善編
第2回Web技術勉強会 webパフォーマンス改善編
tzm_freedom
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
Kenji Urushima
第3回web技術勉強会 暗号技術編その1
第3回web技術勉強会 暗号技術編その1
tzm_freedom
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
Kenji Urushima
セキュリティ勉強会 暗号技術入門 1章
セキュリティ勉強会 暗号技術入門 1章
Naoko Suzuki
Bitcoinを技術的に理解する
Bitcoinを技術的に理解する
Kenji Urushima
introduction to jsrsasign
introduction to jsrsasign
Kenji Urushima
Destaque
(11)
第4回web技術勉強会 暗号技術編その2
第4回web技術勉強会 暗号技術編その2
第5回web技術勉強会 暗号技術編その3
第5回web技術勉強会 暗号技術編その3
Analytics CloudとEmbulkを使った社会的データの分析
Analytics CloudとEmbulkを使った社会的データの分析
私はここでつまづいた! Oracle database 11g から 12cへのアップグレードと Oracle Database 12c の新機能@201...
私はここでつまづいた! Oracle database 11g から 12cへのアップグレードと Oracle Database 12c の新機能@201...
第2回Web技術勉強会 webパフォーマンス改善編
第2回Web技術勉強会 webパフォーマンス改善編
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
第3回web技術勉強会 暗号技術編その1
第3回web技術勉強会 暗号技術編その1
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
いろいろなSSL/TLS設定ガイドライン (JNSA電子署名WG 実世界の暗号・認証技術勉強会資料)
セキュリティ勉強会 暗号技術入門 1章
セキュリティ勉強会 暗号技術入門 1章
Bitcoinを技術的に理解する
Bitcoinを技術的に理解する
introduction to jsrsasign
introduction to jsrsasign
Semelhante a Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccamp
Masahiro NAKAYAMA
D3.js と SVG によるデータビジュアライゼーション
D3.js と SVG によるデータビジュアライゼーション
Kohei Kadowaki
[Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送
[Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送
Google Cloud Platform - Japan
【Cloudian】FIT2015における会社製品紹介
【Cloudian】FIT2015における会社製品紹介
CLOUDIAN KK
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
Tatsuo Kudo
佐賀大学 - データ分析と向き合う
佐賀大学 - データ分析と向き合う
Daiyu Hatakeyama
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方
Fujishiro Takuya
10大ニュースで振り返るPGCon2015
10大ニュースで振り返るPGCon2015
NTT DATA OSS Professional Services
Microsoft AI セミナー - Microsoft AI Platform
Microsoft AI セミナー - Microsoft AI Platform
Daiyu Hatakeyama
Certificate Transparency
Certificate Transparency
Kazuhiro Nishiyama
Dartでサーバレスサービス
Dartでサーバレスサービス
cch-robo
SaaS運用での大障害の思い出と対策の共有(中噴火編)【WESEEK Tech Conf #4】
SaaS運用での大障害の思い出と対策の共有(中噴火編)【WESEEK Tech Conf #4】
WESEEKWESEEK
only ip whitelist at cloudfront is ok?
only ip whitelist at cloudfront is ok?
Yuta Suzuki
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
Masahiro Kiura
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
日本マイクロソフト株式会社
DNS におけるセキュリティ&プライバシ動向
DNS におけるセキュリティ&プライバシ動向
Jun Kurihara
インフォグラフィックス時代のD3.js入門
インフォグラフィックス時代のD3.js入門
貴寛 益子
Service Cloud Trailblazers Meetup #02
Service Cloud Trailblazers Meetup #02
sfdc_sctb
激白!GROWI.cloudの可用性向上の取り組み【WESEEK Tech Conf #16】
激白!GROWI.cloudの可用性向上の取り組み【WESEEK Tech Conf #16】
WESEEKWESEEK
Service Cloud Trailblazers Meetup #11
Service Cloud Trailblazers Meetup #11
sfdc_sctb
Semelhante a Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
(20)
クラウドではじめるリアルタイムデータ分析 #seccamp
クラウドではじめるリアルタイムデータ分析 #seccamp
D3.js と SVG によるデータビジュアライゼーション
D3.js と SVG によるデータビジュアライゼーション
[Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送
[Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送
【Cloudian】FIT2015における会社製品紹介
【Cloudian】FIT2015における会社製品紹介
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
佐賀大学 - データ分析と向き合う
佐賀大学 - データ分析と向き合う
実践!DBベンチマークツールの使い方
実践!DBベンチマークツールの使い方
10大ニュースで振り返るPGCon2015
10大ニュースで振り返るPGCon2015
Microsoft AI セミナー - Microsoft AI Platform
Microsoft AI セミナー - Microsoft AI Platform
Certificate Transparency
Certificate Transparency
Dartでサーバレスサービス
Dartでサーバレスサービス
SaaS運用での大障害の思い出と対策の共有(中噴火編)【WESEEK Tech Conf #4】
SaaS運用での大障害の思い出と対策の共有(中噴火編)【WESEEK Tech Conf #4】
only ip whitelist at cloudfront is ok?
only ip whitelist at cloudfront is ok?
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
【de:code 2020】 Development from anywhere! 全ての開発者が生産性を維持するためにマイクロソフトが貢献できること
DNS におけるセキュリティ&プライバシ動向
DNS におけるセキュリティ&プライバシ動向
インフォグラフィックス時代のD3.js入門
インフォグラフィックス時代のD3.js入門
Service Cloud Trailblazers Meetup #02
Service Cloud Trailblazers Meetup #02
激白!GROWI.cloudの可用性向上の取り組み【WESEEK Tech Conf #16】
激白!GROWI.cloudの可用性向上の取り組み【WESEEK Tech Conf #16】
Service Cloud Trailblazers Meetup #11
Service Cloud Trailblazers Meetup #11
Último
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
danielhu54
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
Toru Tamaki
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
taisei2219
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
sugiuralab
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
Ryo Sasaki
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
iPride Co., Ltd.
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Toru Tamaki
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Yuma Ohgami
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Toru Tamaki
Último
(9)
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
1.
© 2015 Kenji
Urushima All rights reserved. Certificate Transparencyによる SSLサーバー証明書公開監査情報と その課題の議論 (資料公開版) Certificate Transparency有志勉強会 協賛:すみだセキュリティ勉強会/JNSA PKI相互運用WG 於:トレンドマイクロ株式会社(新宿)本社会議室 2015年6月12日(金) JNSA PKI相互運用WG 漆嶌賢二
2.
© 2015 Kenji
Urushima All rights reserved. • Certificate Transparency(CT)とは • Google ChromeでのCTの表示 • CTの構造 • CTの課題整理の議論 今日のアジェンダ
3.
Certificate Transparency って ご存知ですか?
4.
某S社、曰く 透かし入り証明書 某D社、曰く 証明書の透明性とか 透かし入り証明書とか 出典: http://www.digicert.ne.jp/topics/CertificateTransparency.html 出典: http://www.symantec.com/ja/jp/page.jsp?id=ssl-certificate-transparency
5.
Certificate Transparency とは 認証局が「ポカ」やって不正なSSL サーバー証明書が発行されたとしても、 それが「監査情報」を公開することに よって、その発行が正当なものかどう か判断できるようにする仕組みらしい。 「透かし入り証明書」などではなく、 「証明書発行監査の透明性(公開性)」とでも呼ぶべき
6.
Certificate Transparencyとは(2) ü 2011年、DigiCertやComodoなどで google.comドメイン不正証明書が 発行されイラクの通信が盗聴 その対策の一環として提案。 ü
2011年のGoogleの人の論文に基づく ü 実験RFC 6962になった(準拠不要?) ü Google Chromeのみが実験に対応 ü Chromeは1月〜EV証明書の必須要件に ü DigiCert, GlobalSignが先行対応 ü 他の海外認証ベンダも対応中 © 2015 Kenji Urushima All rights reserved.
7.
PKI解説サイトのImperialVioletで有名な Adam Langley氏の2011年の論文 参考出典:http://www.links.org/files/CertificateAuthorityTransparencyandAuditability.pdf DigiCert等の認証局の運用の誤りの問 題を受けて公表された論文 全ての認証局から発行される証明書に ついて、「本当に認証局が意図して発 行したのかという監査情報を公開する ようにし、利用者はこれを見て証明書 が正しく発行されたものか判断できる 仕組みの必要性を説いた。」 私見だが、CTの意義は今でも同意で きない。認証局は運用監査を受けてい るし、運用で誤った証明書なら失効す れば良いだけ。 → ただ、これが実 験RFCになり、実装までしてしまった。 © 2015
Kenji Urushima All rights reserved.
8.
Google ChromeではEV証明書にはCT必須 参考: Improve
the Security of EV Certificates (19 Mar 2014 by Ben Laurie of Google) https://docs.google.com/a/google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxjZXJ0aWZpY2F0ZXRyYW5zcGFyZW5jeXxneDo0ODhjNGRlOTIyMzYwNTcz • 利用者、サーバー管理者は何もしなくてよい。 • 有効期限が2015年1月1日を超える証明書 はCTがログサーバーに登録されていなければ ならない。 • 発行済みのEV証明書は2015年1月時点で GoogleがCTログサーバーに(全て)登録 • 2015年2月1日以降、CTの無いEV証明書 はEV表示をしない。 © 2015 Kenji Urushima All rights reserved.
9.
目に見える Certificate Transparencyとは (Chrome、DigiCert等が対応) © 2015
Kenji Urushima All rights reserved.
10.
CT対応じゃないサイト(=ほとんどのサイト) 例の出典 https://jp-businessstore.symantec.com/qq2/symantec/index.asp 鍵を右クリック 「公開監査記録がない」 = Certificate Transparency 非対応のサイト ©
2015 Kenji Urushima All rights reserved.
11.
CT対応のサイト(=GlobalSign or DigiCert) 例の出典
https://www.digicert.com/鍵を右クリック 「公開監査が可能」 = Certificate Transparency 対応のサイト © 2015 Kenji Urushima All rights reserved.
12.
CT対応のサイト(=GlobalSign or DigiCert) Signed
Certificate Timestamp (SCT) (RFC 3161とは無関係の CTログエントリに対する署名情報) DigiCert、GlobalSignには 見慣れない拡張が!! (embeddedSCT) 「SCTを証明書に入れる」とい うことは「証明書発行の前に SCTが必要」という事© 2015 Kenji Urushima All rights reserved.
13.
SCTの入った証明書の発行 プレ証明書 ・シリアル ・発行者 ・有効期間 ・主体者 ・拡張領域 CRLDP,SAN等
1.3.6.1.4.1.11129..2.4.3= ASN.1 NULL ・プレ用中間CAの署名 予定の証明書 ・シリアル ・発行者 ・有効期間 ・主体者 ・拡張領域 CRLDP,SAN等 ・中間CAの署名 シリアルや有効期限を含め事前に発行予定の証明 書データ(TBSCertificate)が必須だが、証明書発 行前にシリアルを含めそのような情報が認証局に あることは問題ではないか。 ルート認証局 発行する証明書 ・シリアル ・発行者 ・有効期間 ・主体者 ・拡張領域 CRLDP,SAN等 embedSCT拡張 =SCT ・中間CAの署名 中間認証局 プレ用認証局 拡張鍵使用目的= CT(1.3.6.1.4.1.11129.2.4.4) © 2015 Kenji Urushima All rights reserved. ログサーバー 認証局 ウェブサイト ウェブブラウザ ①プレ証明書 ②プレ証明書 (SCT付) ③サーバー証明書 (SCT付) ④SSL/TLS通信 (SCT付証明書)
14.
世界に配置された CTログサーバー(リポジトリ) © 2015 Kenji
Urushima All rights reserved.
15.
© 2015 Kenji
Urushima All rights reserved. ログサーバー(2015年2月当時) 2015年2月頃は Googleは世界2拠点でログサーバーをテスト運用していた Googleは3拠点を計画、他の組織がログサーバーを提供してもよいと Googleは言っているが当時は他になかった https://ct.googleapis.com/pilot/ https://ct.googleapis.com/aviator/ ルートCA数:352 SSL証明書数:660万枚 日次増分:約8千枚 ルートCA数:352 SSL証明書数:660万枚 日次増分:約8千枚 SSLPulse調査対象15万 枚を遥かに凌ぐ。当然EV 証明書以外も含まれる。
16.
© 2015 Kenji
Urushima All rights reserved. ログサーバー(2015年6月現在:6つ) ChromiumのCTサイトでCTログサーバー一覧を公開 Google以外もある 7,676,296 6,938,450 82,058 4,958,583 10,812 4,341 出典:https://www.chromium.org/Home/chromium-security/certificate-transparency Chromiumのソースコードに掲載されている https://chromium.googlesource.com/chromium/src/+/master/net/cert/ct_known_logs_static.h
17.
© 2015 Kenji
Urushima All rights reserved. Google Pilot CT Logエントリ数の推移(2015年2月〜6月) 現在、777万枚のSSL証明書 1.1万枚/日でリニアに増加 ミシガン大のZmapによる全IPアドレ ス調査などと比較して圧倒的に効率的 にSSLサーバー証明書が回収可能 20515年3月 4月 5月 6月
18.
CTログの構成要素 © 2015 Kenji
Urushima All rights reserved.
19.
© 2015 Kenji
Urushima All rights reserved. CTログの構成要素 SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ a1.jpサーバ証明書 中間CA証明書 ルートCA証明書 リーフデータ(=証明書チェイン) or ログエントリ Signed Certificate TimeStamp (SCT) ID番号 ログ名/ID 監査時刻(登録時刻) SHA256wECDSA署名値 署名 Signed Tree Head タイプ 生成日時 ツリーのサイズ(リーフ数) ルートのSHA256ハッシュ値 SHA256wECDSA署名値 Markle Hash 下位ノードに対するハッシュ値 署名
20.
© 2015 Kenji
Urushima All rights reserved. 追記のみを許すと主張しているログデータ全体の構造 (実際には技術的に 「追記のみ」を保証されない) SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ a1.jpサーバ証明書 中間CA証明書 ルートCA証明書 特徴 ① ハッシュ計算とマークル木により 追加だけしかできない(append only) ② ハッシュ計算とマークル木により 途中改竄はできない ③ Bitcoinのマークル木と似ている ④ ログエントリとは証明書チェインの事 ⑤ 一部のデータはGoogleのECC鍵で 署名される リーフ データ (=証明書 チェイン) Signed Certificate TimeStamp (SCT) ID番号 ログ名/ID 監査時刻(登録時刻) SHA256wECDSA署名値 SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ SHA256 ハッシュ
21.
CTのマークルハッシュ木 © 2015 Kenji
Urushima All rights reserved.
22.
© 2015 Kenji
Urushima All rights reserved. マークル木の成長(証明書 が登録されると木が成長する) i e a d1 b c d2 リーフ データ (=証明書 チェイン) Signed Certificate TimeStamp (SCT) d d3 f d4 m k h d5 j d6 o l d7 n d8 g 登録のアニメーション STH STH STH STH
23.
© 2015 Kenji
Urushima All rights reserved. Markle Audit Path(マークル監査パス)とは o nm i j k l a b c d e d0 d1 d2 d3 d4 リーフデータ (=証明書チェイン) f d5 g d6 h d7 Pathとはリーフデータが木に含 まれていることを証明するため のノードハッシュ値のリスト 例えばリーフd3が含まれ ることを証明したいとする とき、Pathは[c, i, n]とな り、[c, i, n]とd3さえあれ ば下から順にルートハッ シュを計算できる。 ① d3からdを計算できる ② c、dからj ③ i、jからm ④ m、nからルートo 別途与えられるルートハッ シュと一致すれば、d3は 木に含まれる証明となる。
24.
© 2015 Kenji
Urushima All rights reserved. Markle Tree Hash(MTH)の計算方法 g fe a b c d d0 d1 d2 d3 EWEL97g… ①子供が2ついるノード ②子供にリーフを1つ持つ 末端ノード この2つでハッシュ値の計 算方法が違う wDblrkB… /NeD2RV… h6Wo6zv… /6/EpTp…6eIbVFV… c = MTH({d(2)}) = SHA-256(0x00 || d2_leaf_input) e = SHA-256(0x01 || a || b)
25.
© 2015 Kenji
Urushima All rights reserved. TLSサーバーからクライアントへSCTを渡す3つの方法(参考) ①SSLサーバー証明書の embedSCT拡張に含める (最も一般的?) ②TLSハンドシェイクの signed_certificate_timest amp型TLS拡張に含める (対応実装は無い?) ③TLSハンドシェイクの status型TLS拡張のOCSP staplingに含める (対応実 装は無い?) ほぼこの方式 しか使わない 対応実装 無し 対応実装 無し
26.
www.digicert.com - embeddedSCT
X.509v3拡張value OCTET STRING 00 EF 00 76 00 A4 B9 09 90 B4 18 58 14 87 BB 13 A2 CC 67 70 0A 3C 35 98 04 F9 1B DF B8 E3 77 CD 0E C8 0D DC 10 00 00 01 49 10 FA BD 89 00 00 04 03 00 47 30 45 02 20 66 D7 67 79 F4 AA D3 B8 C6 9F 03 01 BF CD EC 83 36 D4 C8 4F C1 45 D5 D9 FD 16 54 AD 6F 75 22 A1 02 21 00 B8 95 F1 43 03 DF A4 11 04 3C 24 13 D8 81 69 24 9D D2 04 96 4D AD 53 3D 9D 6A 24 14 32 4D CC 91 00 75 00 68 F6 98 F8 1F 64 82 BE 3A 8C EE B9 28 1D 4C FC 71 51 5D 67 93 D4 44 D1 0A 67 AC BB 4F 4F FB C4 00 00 01 49 10 FA BD 79 00 00 04 03 00 46 30 44 02 20 11 34 9A 59 2C 9D 3B D3 8B 9A 58 18 37 24 55 F3 9D 0E CA 98 96 6B 8F C7 A2 E4 D8 BF 00 CE 40 FD 02 20 11 24 11 AB 62 7F B2 88 F0 6D 70 C0 FD A0 65 B5 B6 03 46 1F 10 30 ED F5 6D 7E 89 7B BA 20 32 64 Google Pilot log Name Google Pilot log ID Google Aviator log Name Google Aviator log ID Google Pilot log Sig Google Aviator log Sig 2014年10月15日水曜日 8:25:08 JST 2014年10月15日水曜日 8:25:08 JST 証明書に組込まれたSignedCertificateTimestampの構造 なぜ、SCT等一連のデータ構造はASN.1になっていた方が取扱いが容易だった © 2015 Kenji Urushima All rights reserved.
27.
© 2015 Kenji
Urushima All rights reserved. 公開ログサーバーへの RESTAPIインタフェース 基本的にRESTAPIで公開サーバーにアクセスできる (例) POST https://ct.googleapis.com/ct/v1/コマンド クライアント 証明書チェインの追加 POST add-chain 発行前証明書のチェインの追加 POST add-pre-chain 署名木ヘッドの取得 GET get-sth 署名木ヘッドのマークル一貫性証明の取得 GET get-sth-consistency リーフハッシュによるマークル監査証明の取得 GET get-proof-by-hash エントリ群の取得 GET get-entries 受理されたルート証明書群の取得 GET get-roots エントリとマークル監査証明の取得 GET get-entry-and-proof REST→ JSON←
28.
© 2015 Kenji
Urushima All rights reserved. 本家 www.certificate-transparency.org サイト ① CTの解説 ② ツールのソースコード ③ 仕様(RFC 6962) ④ プレゼン資料
29.
© 2015 Kenji
Urushima All rights reserved. GoogleのAdam Langley氏のImperialVioletブログの Certificate Transparencyに関する記事 ① CTの解説 ② Go言語によるサンプル プログラム https://www.imperialviolet.org/2011/11/29/certtransparency.html https://www.imperialviolet.org/2012/11/06/certtrans.html https://www.imperialviolet.org/2013/08/01/ctpilot.html
30.
Certificate Transparencyの 課題整理(議論) © 2015
Kenji Urushima All rights reserved. ① そもそも信頼できる監査情報なのか? ② 仕組み/データとして信頼できるのか? ③ プライバシー懸念があるのでは?
31.
© 2015 Kenji
Urushima All rights reserved. CTで保持されている公開監査情報は意味があるのか? 持っている情報は ・証明書チェーン ・登録時刻 のみ CTログ サーバー 悪意のある者がCTを使うことがある • 不正発行した証明書を登録することができる • 正しく発行されたものと区別がつかない 結局、CTログにあるから健全とは限らない • ログサーバー自体が監査を受けていない • どのようなポリシーでログ登録されるか不明 • 健全なログかどうかわからない • 不正発行された証明書が登録されているかもれない • CT導入前に発行され、今CTに登録されている証明書 は監査の網をすりぬけた証明書 • CT管理者はいつでもCTログDBの改ざんが可能(後述)
32.
© 2015 Kenji
Urushima All rights reserved. ② CTの仕組みやデータが信頼できるものか? ビットコインのブロックチェイン、マークル木を真似て作って いるようだが「追記のみ」のデータベースに「全くなっていない」 g e a b c d0 d1 d2 CTは追加のみのデータベースだと主張するが・・・ g fe a b c d d0 d1 d2 d3 g e a b c d0 d1 d2 d1を改ざんするなら b, e, gを再計算し署名 d3を追加するなら d, f, gを計算し署名 CT管理者のECC秘密鍵があれ ば、ハッシュと署名の再計算は 可能。CT管理者は改ざんし放 題で事実上のビッグブラザーに なっている。 改ざん 追加
33.
© 2015 Kenji
Urushima All rights reserved. ③ CTにはプライバシーの懸念があるのでは? HTTPSウェブサイト aaa.com CTログサーバー ①TLS アクセス ②aaa.comの SCT付 証明書 ③aaa.comが CTログにあるか、 正しいか、検証 CTサーバー管理者は今、CT に登録されている数百万のサ イトに対する全世界からのア クセス情報を、公開監査ログ 検証の名目で収集できる可能 性がある。 本来、利用者とaaa.com しか知り得なかった情報 OCSP staplingによるプライバシー懸念と全く同種の問題がCTでも起きる
34.
© 2015 Kenji
Urushima All rights reserved. ④ プレ証明書の運用を入れることで 認証局は高リスクに プレ証明書 ・シリアル ・発行者 ・有効期間 ・主体者 ・拡張領域 CRLDP,SAN等 1.3.6.1.4.1.11129..2.4.3= ASN.1 NULL ・プレ用中間CAの署名 予定の証明書 ・シリアル ・発行者 ・有効期間 ・主体者 ・拡張領域 CRLDP,SAN等 ・中間CAの署名 ルート認証局 発行する証明書 ・シリアル ・発行者 ・有効期間 ・主体者 ・拡張領域 CRLDP,SAN等 embedSCT拡張 =SCT ・中間CAの署名 中間認証局 プレ用認証局 拡張鍵使用目的= CT(1.3.6.1.4.1.11129.2.4.4) • 認証局を追加することで認証 局は運用コスト大幅増 • 事前にシリアル、有効期間な どが同じ証明書を発行するこ とは、CAの監査的にも良くな い。 • プレ認証局の運用監査はどう するのか?(コスト増) • プレ認証局から「不正証明 書」が発行されるリスクが非 常に高まる。 • パス検証で「未知のクリティ カル拡張」を正しく扱えない ブラウザは、不正な証明書を 受け入れてしまう可能性があ る。 CTのメリットはほぼ無いのに 「認証局の不正を生みやすい高 コストな環境」を作っている。
35.
© 2015 Kenji
Urushima All rights reserved. ⑤ (追記)CTに関する最新の動向(2016.06.24) • RFC 6962bis – Certificate Transparencyが準備され始めていている • https://datatracker.ietf.org/doc/draft-ietf-trans-rfc6962-bis/ • CT運用の十分な実績、実装ができたためExperimentalから Standard Trackに移すことを画策している • Standard Trackになったら、すべてのブラウザ、すべてのサーバー がこれに対応していく方向になる • 次のiOS9でCertificate Transparencyをサポートすると公表した http://gizmodo.com/one-big-list-of-the-new-privacy-and-security-features-i-1710332864 https://twitter.com/FredericJacobs/status/608003625617604608 • Chromeだけでなく、他のブラウザも対応し始めた さらに、とてもまずい状況になった
36.
© 2015 Kenji
Urushima All rights reserved. (参考) Chromium Forumでの議論 Google Chromium開発のSecurity/ Crypto TeamのRyan Sleeviのフォー ラム投稿 • 同じChroiumベースのOperaからの CTに対する批判を受けたもの • 「Googleに悪意が無いこと」を9 ページに渡る長文で弁明したが、論 点がはっきりせず、健全に運用され ていること、信頼できる仕組みであ ることは証明されていないようだ。 https://groups.google.com/a/chromium.org/forum/ #!msg/ct-policy/Udh1ddi1MrY/Ij-p0o1mP5gJ
37.
© 2015 Kenji
Urushima All rights reserved. 不完全なChromiumのCT Logの運用ポリシー Google Chromiumプロジェクトには CTログのポリシーが定められている が • 認証局はPwCなど必要な外部 運用監査をしているが • CTについては何もシステム監査 するつもりは無さそう • 精神論で「完全性を維持」と言って いるだけで、誰もその運用を担保で きない。 • 正しく運用されていた事を示す方法 がない。 • CTのEC鍵管理も不明確 https://www.chromium.org/Home/chromium- security/certificate-transparency/log-policy
38.
© 2015 Kenji
Urushima All rights reserved. (参考)IETFのCT wikiページ 出典:http://trac.tools.ietf.org/wg/trans/trac/wiki 今は大した情報はないが今後に期待??? (CT検索系のオンラインツールが整備されそう)
39.
© 2015 Kenji
Urushima All rights reserved. (参考)ChromiumのCT関連ソースコード 出典:https://chromium.googlesource.com/ chromium/src/+/master/net/cert ct_*.[ch] • 6つのサーバー用のECC公開鍵などある • 検証はあまりまともに実装されてなさそう
40.
© 2015 Kenji
Urushima All rights reserved. 主張 Certificate Transparencyは仕組 み的にも、運用的にも「証明書の有 効性」などの何かを証明できるよう な仕組みにはなっていない。そのよ うな仕組みを信頼の起点とするのは、 非常に問題があるのではないか。
41.
ご清聴ありがとうございました
42.
(参考)Certificate Transparencyの課題整理メモ ①
そもそも何を監査しているのか不明 i. 保管しているのは「ただの」証明書チェーンと登録時刻 ii. 正当な発行によるものかそうでないかは不明 iii. 誰でもログサーバーに登録でき不正なもの登録可? iv. 結局CTにおいてあるもので監査できるのは何なのか? v. 誤った登録があった際に、これを取り消す仕組みがない。 vi. 複数登録があった際に、どちらが正しいのかを知る術がな い。 vii. そもそも、証明書の失効情報だけで充分なのでは? ② CTの運用監査は誰がするのか? i. ログサーバーに使う楕円秘密鍵管理は適切か? ii. 認証局は第三者機関の運用監査を受けることになっている のに iii. 誰も監査する予定はなく、監査スキームも明らかでない? © 2015 Kenji Urushima All rights reserved.
43.
(参考)Certificate Transparencyの課題整理メモ(2) ③ CTログ管理事業者を信用できるのか? i.
CT運営者が意図的にCTにログを登録させないことはできる(CT八 分) ii. CT運営者がCTを意図的に改竄することはあるかもしれない。 ⑤ CT運営者を信用できるのか?(2) i. OCSP staplingと同じプライバシー懸念。サイトにアクセスするた 度にSCTを検証するためにログサーバーにアクセスする。ログサー バーを管理するCT運営者は「どのIPからどのサイトにアクセスが あったか」を全て保持できプライバシーの懸念がある。 ii. ChromiumベースのOperaもGoogleに対してCTの懸念を表明して いる。 © 2015 Kenji Urushima All rights reserved.
Baixar agora