自堕落な技術者の日記 : Certificate TransparencyでわかったというThawteによるgoogle.com証明書の不正発行??? - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 2015年9月19日(土)に「Symantec caught issuing rogue Google.com certificates」 という記事が飛び込んできて、認証局、証明書、SSL関係のインシデントだと わくわくして飛びつくわけですが、ざっと読んでみると 大手セキュリティベンダーのSymantecの子会社で低価な証明書の発行サービスをやっている Thawteが、2015年9月14日にgoogle.com、www.google.com用のEV SSL証明書を、Googleに了解なく 不正に発行していたことが、証明書の公開監査記録(Certificate Transparency)によりわかった。 という事のようです。厳格な審査で発行さ
0. Disclaimer 先日JPNICのサイトの証明書が誤って失効してしまったという障害が発生しました。 「障害報告:サーバ証明書が意図せずに失効されたことによるJPNIC Webの閲覧不可につ いて(第一報)」 週末にもかかわらず迅速に復旧対応を行った関係者の方々のご尽力は大変なものであったろうと察します。 筆者は本件と全く関わりはありませんが、公開されている情報から推測すると障害の発生経緯に Certificate Transparency とその周辺のPKI技術に深い関連があるように思えました。 正式な報告書が公開される前ですが、twitterで中途半端に推測をツイートしてしまい拡散されてしまったので、事実認定と推測をちゃんと分けて書いたほうが良かったかなと少々後悔しています。 そこで、正式な報告書が公開されたら記述を追記する予定ですが、現時点で自分が把握している客観的な事実と個
Certificate Transparencyについて勉強会で発表したので、その補足や落ち穂拾い - ろば電子が詰まつてゐる
終了後にメモするのをサボっていたら1週間経ってしまいましたが、主催している「すみだセキュリティ勉強会」を久々に開催しました。 すみだセキュリティ勉強会2015#1 発表者の@inaz2さん、@furandon_pigさん、ありがとうございました。 今回の発表内容 私の発表は、最近ちょっと気になっているCertificate Transparencyについてでした。発表資料は以下です(パワポ資料を、ノート付きPDFにしています)。 俺とお前とCertificate Transparency 内容については資料を見てもらうとして、以下、時間内で話せなかった部分などを補足します。 復習と用語整理 まず、用語を思い出しておきましょう。 CT: Certificate Transparency。CTログサーバに発行した証明書を登録することで、証明書発行の「透明性」を確保する仕組み。 SCT: Sig
Certificate Transparency の仕組みと HPKP から Expect-CT への移行 | blog.jxck.io
Update 2018/3/30: Let's Encrypt が SCT 埋め込みに対応したため、 本サイトへの適用 を更新した。 Intro 本サイトは HPKP (public-key-pins-report-only) に対応していた。 しかし、 HPKP はその運用性の問題などもあり、 Chrome はすでに deprecate するアナウンスを出している。 代替の仕様として、 Certificate Transparency (CT) のエコシステムと、それを利用する Expect-CT の策定/実装が進んでいる。 CT エコシステムの概要、 Log の登録/検証、 HPKP から Expect-CT への移行などについて解説する。 「CA は信用できるのか?」問題 HTTPS 化が前提として定着した昨今、トラストアンカーとしての CA の責務は増している。 我々が依存する P
AWS Certificate Manager (ACM) が Certificate Transparency (CT) をサポートするための準備 | Amazon Web Services
Amazon Web Services ブログ AWS Certificate Manager (ACM) が Certificate Transparency (CT) をサポートするための準備 2018年4月30日 より、Google Chrome は全ての公式に信頼する証明書は少なくても 2 箇所の Certificate Transparency ログに記録されている事を必須条件とします。これにより Google Chrome ではログに記録されていない発行済の証明書にはエラーメッセージが表示される事になります。2018年4月24日より、お客様が Certificate Transparency ログへの記録を無効にしない限り、アマゾンは全ての新規や更新した証明書について少なくても 2 箇所以上の公開ログに記録を行うようにします。 Certificate Transparency
Certificate Transparencyとはなにか 過去に当ブログでDANE, CAA, Certificate Pinningと、SSL/TLSにおける電子証明書の信頼性を高める新たな技術をご紹介してきましたが、今回は同じ目的で考案されたCertificate Transparency(CT)を取り上げたいと思います。 CTはCertificate Pinningと同様Googleによって考案され、2013年にRFC6962としてRFC化されました。 基本的な考え方はCertificate Pinningと同じ「ホワイトリスティング」です。正規に発行された証明書の情報を「Log」として登録し、TLSクライアントがサーバに接続する際にこの「Log」を参照することで証明書の正当性を検証できるようにしようというものです。 CTの特徴として、以下のようなポイントがあります。 Logへの証
Certificate Transparency : Certificate Transparency
Working together to detect maliciously or mistakenly issued certificates. An ecosystem that makes the issuance of website certificates transparent and verifiable. To the participants of the Certificate Transparency (CT) ecosystem, who give their time, expertise, and resources to help keep the web secure. Thank you. Certificates, encryption, and secure communication Certificate Transparency (CT) si
AWS Certificate Manager (ACM)のCertificate Transparency (CT)サポートが始まります | DevelopersIO
2018/03/01更新 2018年4月30日以前に発行された証明書は対象外であることを追記しました ども、大瀧です。 昨日、AWS Security BlogでACMのCertificate Transparency(CT)サポートについての記事が公開されました。 AWS Certificate Manager (ACM) Support of Certificate Transparency CT自体の是非については、本記事では触れません。何が起きるのか、どう対処するのかをまとめてみます。 Certificate Transparency(CT)とは Certificate TransparencyはGoogleが提唱する、TLS証明書発行の証跡を残す仕組みです。CyberTrust社の以下のページが詳しいです。 Certificate Transparency について|Cybert
Certificate TransparencyによるSSLサーバー証明書公開監査情報とその課題の議論
2015年6月12日に有志で行なったCertificate Transparencyに関する勉強会の資料です。Read less
1 すみだセキュリティ勉強会を主催しています、ozuma5119と申します。 ふだんは、比較的固めの会社でセキュリティエンジニアをしています。ブログはこち ら。 http://d.hatena.ne.jp/ozuma/ 科学写真家というのは、「理科の教科書に載ってるような写真」を撮る人たちです。 こちらは副業ということで、小学生向けの教材の写真とか撮って、ときどき本に載っ たりします。 2 今回の概要はこんな感じです。 今日のメインは、2つめのCertificate Transparencyというものです。これについて話そ うと思うのですが、その前にまずSSL証明書の鑑賞方法を学んでおきましょう。 CTを理解するには、証明書の見方を知らないといけないためです。 ただ、単に証明書を見ても、証明書マニアじゃないとつらいと思うので、今日は素数 に注目して証明書を見てみましょう。 素数に注目して
Certificate Transparency Monitoring - Facebook for Developers
このツールを使用すると、指定したドメインに発行された証明書を検索したり、新しい証明書に関するFacebookからのお知らせを購読することができます。
Preparing for AWS Certificate Manager (ACM) Support of Certificate Transparency | Amazon Web Services
AWS Security Blog Preparing for AWS Certificate Manager (ACM) Support of Certificate Transparency Update from April 24, 2018: On April 24, 2018, we updated ACM to publish certificates to CT logs on issuance and on renewal, unless you disable Certificate Transparency logging. No action from you is required if you want ACM to publish your certificates to Certificate Transparency logs, which will avo
Internet Engineering Task Force (IETF) B. Laurie Request for Comments: 6962 A. Langley Category: Experimental E. Kasper ISSN: 2070-1721 Google June 2013 Certificate Transparency Abstract This document describes an experimental protocol for publicly logging the existence of Transport Layer Security (TLS) certificates as they are issued or observed, in a manner that allows anyone to audit certificat
Android Chrome 99 expands Certificate Transparency, breaking all MitM dev tools
Certificate transparency is superb improvement to HTTPS certificate security on the web that's great for users and businesses, but on Android it creates a huge problem for the many developer tools like HTTP Toolkit which install trusted system certificates into Android to intercept & debug app traffic. This doesn't appear in the main announcements anywhere, but buried deep in the enterprise releas
AWS Certificate Manager (ACM)のCT(Certificate Transparency)をオプトアウトする | DevelopersIO
現時点ではAWS Management Consoleではオプトアウトに対応していないため、設定はAWS CLIなどACMのAPIを呼ぶ仕組みで対応します。今回はAWS CLIで設定します。 既存の証明書でCTをオプトアウトする AWS CLIで証明書のオプションを変更するaws acm update-certificate-optionsコマンドの--optionsオプションで指定します。証明書をARNで選択するので事前に控えておきましょう。 $ aws acm update-certificate-options \ --certificate-arn arn:aws:acm:us-east-1:XXXXXXXXXXXX:certificate/XXXXXXXXXXXX \ --options CertificateTransparencyLoggingPreference=DISAB
Retrieved from Google 'Aviator' log. (ct.googleapis.com/aviator) Input Log Entry Number 1 - 14234525 (last number retrieved at 2016/04/11) number: or... GACHA GACHA See Also About this page (Written in Japanese) Certificate Transparency RFC 6962
CT-Exposer - An OSINT Tool That Discovers Sub-Domains By Searching Certificate Transparency Logs - KitPloit - PenTest Tools for your Security Arsenal ☣
Certificate Transparency (CT) is an experimental IETF standard. The goal of it was to allow the public to audit which certificates were created by Certificate Authorities (CA). TLS has a weakness that comes from the large list of CAs that your browser implicitly trusts. If any of those CAs were to maliciously create a new certificate for a domain, your browser would trust it. CT adds benefits to T
2022年のAndroidにおけるProxy設定と NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法 - セキュアスカイプラス
ホーム エンジニアブログ 2022年のAndroidにおけるProxy設定と NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法 こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 本記事では Android で burp などMITM型*1 のProxyを設定する方法と、Android版 Chrome 99 以上で発生する NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法を紹介します。 弊社では診断対象となるWebアプリのHTTP(S)通信を MITM型Proxy で取得し、検査用に編集してサーバに送っています。 「Proxyを挟めること」が診断を進める上での必須要件であり、Proxyを挟めないと診断はもとより、アプリの挙動
What exactly does it mean when Chrome reports 'no certificate transparency information was supplied by the server?'
When visiting Gmail in Chrome, if I click on the lock icon in the address bar and go to the connection tab, I receive a message 'no certificate transparency information was supplied by the server' (before Chrome 45, the message was displayed as 'the identity of this website has been verified by Google Internet Authority G2 but does not have public audit records'). What exactly does it mean that th
How Certificate Transparency Works - Certificate Transparency
Certificates are deposited in public, transparent logs Certificate logs are append-only ledgers of certificates. Because they're distributed and independent, anyone can query them to see what certificates have been included and when. Because they're append-only, they are verifiable by Monitors. Organisations and individuals with the technical skills and capacity can run a log. User agents - browse
Certificate Transparencyのログサーバからドメイン名一覧を取得してみた - knqyf263's blog
Certificate TransparencyについてSCT埋め込まれてるんだなーぐらいのふわっとした理解だったので勉強し直していたのですが、ログサーバは誰もでアクセス可能だからログサーバに登録されている証明書からドメイン名の一覧を取得できてしまう、というのを見て自分でも試してみました。 有識者の間では常識みたいなので、特に大した内容ではないです。 概要 Certificate Transparency(CT)の説明は参考ページなどを見てもらうとして、今回はログサーバからドメイン名を取得できてしまう問題について試してみます。 ということで数日前ぐらいからログサーバからひたすらデータを引っ張ってくるやつを作ってみようと思っていたら、既にあることを昨日知りました。 crt.sh なのでここで検索してみれば終わりって感じなのですが、CLIにしておくといつか使えるかなと思って作りました。 参考
JPNICの証明書失効の障害とCertificate Transparency(正解編) - ぼちぼち日記
前回のエントリーでJPNICの証明書失効の障害事故について事実認定と推測記事を書きましたが、本日報告書が公開されました。 サーバ証明書が意図せずに失効されたことによるJPNIC Webの閲覧不可についてのご報告 文面自体は短いのですが、正解は 新たに発行された3ヶ月弱の期間の証明書は正式に再発行を受けたものであった。 失効の連絡がJPNICに来ず、再発行の証明書を入れ替える前に失効手続きが取られてしまった。 ということであったようです。 前回のエントリーで書いた、期限設定のミスなどはなかったようです。プレ証明書によるシステム的な問題は考えすぎでした。 再発行後、以前の証明書の失効を行う際に事前に連絡確認を怠ったというのが障害発生理由です。 発行からちょうど2週間後に失効されてしまったのは、下記に書いてある規定によるものではないかと思われます。 担当者変更/再発行/解約について 利用中の証明
Cloudflareの証明書の透明性(Certificate Transparency)への取り組みを紹介! | DevelopersIO
SSL/TLS証明書(以下証明書)には証明書の監視や監査を行って証明書の信頼性を高める「証明書の透明性(Certificate Transparency;以下CT)」という仕組みがあります。 Certificate Transparency : Certificate Transparency 過去には様々な理由により、認証局(CA)から不正な証明書が発行される事例が発生したことから、証明書の信頼性を高めるために、考案されました。 CAが証明書を発行する際には、パブリックなCTログサーバーに発行履歴を登録し、ログサーバーから受け取った署名付きのタイムスタンプ(SCT;Signed Certificate Timestamp)を埋め込んだ証明書を発行します(埋め込まない方法も有り)。 ブラウザは証明書に埋め込まれたSCTを確認し、存在しなければ証明書を不正とみなします(ブラウザによります)。
このところ、Certificate Transparency(RFC 6962)について調べている。 http://www.certificate-transparency.org/ これについてはまだ日本語で書かれた解説も少なく、なかなかつかみ所が無くて理解に苦労した。 要するに、発行されるSSL証明書すべてをログDB(CT Log)にガシガシ記録し、みんなが見られるようにしておく。そうして監査ログを作っておき、「多数の目による監視」をして、意図しないニセモノ証明書の発行を防ごう……というのが表向きの目的のようだ。 しかしこのCTにはイロイロと突っ込みどころも多くて、あまりスマートじゃないなぁと私は思っている。とりあえず少し調べてみて、私が「これはどうかなぁ……」と思うのは次のあたり。 証明書にCTログのタイムスタンプ(SCT)を付けるために、本物の証明書と同じシリアルIDを持つPrec
【YouTube】動画が再生できない「net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED」エラーが発生中(2018年11月9日)
2018年11月9日より、Chromeを利用しているユーザーを中心に、YouTubeで動画がずっと読み込み中表示になってしまい、動画を再生できない問題が発生しています。 この問題の発生時、ブラウザのコンソールには「net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED」というエラーが出力されている状態です。 このエラーの発生および、動画が再生できない症状について紹介します。 目次 1. YouTubeの動画が再生できない2. コンソールに「net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED」エラー3. 動画を読み込むメインの通信に失敗4. 対策について スポンサーリンク YouTubeの動画が再生できない 現在発生している問題は、次のように動画が読み込まれず、再生が始まらない問題です。動画によって発生したりしなかったり、また、
自堕落な技術者の日記 : Deep Inside Certificate Transparency (その1) - livedoor Blog(ブログ)
どんなツールをつくったか 調べるにあたっては、PerlやNode(+jsrsasign)などで幾つかツールを作ったりぼちぼち環境を整備しています。公開してもいいんですけど、ドキュメント整備したり、コマンドラインオプションなどちゃんと作り込まないと、「ドキュメントがないから使いもんになんね〜〜!!」とか怒られて非常にヘコむんすよね。オープンソースなんだから、ちょっとコードみてくれりゃいいし、テストコード見りゃそのまま使い方ズバリなので、、、と思うんすけどね〜〜〜。(jsrsasignの愚痴っぽくてすみません。) ざっくりこんなツールを作ってみています。(他にもいろいろありますが、今回に関係する分だけ。) プレ証明書とその解析情報だけを集めたSQLiteデータベース ログエントリのleaf_input保存ツール ログエントリのextra_data保存ツール ログエントリからプレ証明書のチェーン
GitHub - eth0izzle/bucket-stream: Find interesting Amazon S3 Buckets by watching certificate transparency logs.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JPNICの証明書失効の障害とCertificate Transparency - ぼちぼち日記
Certificate Transparency
Certificate Transparencyを知ろう ~証明書の透明性とは何か~ / NTTデータ先端技術株式会社 大隅雄介 1-2_oosumi.pdf
[PDF]俺とお前とCertificate Transparency
RFC 6962: Certificate Transparency
Certificate Transparency Lookup Tool - Transparency Report - Google
Certificate Transparency GACHA
Certificate Transparencyガチャを作った。 - ろば電子が詰まつてゐる