http2 勉強会 #8 (CA 特集) #http2study

http://http2study.connpass.com/event/31434/ 随時更新 誰でも編集可です
1
前へ 1 2 ・・ 5 次へ
Kaoru Maeda 前田 薫 @mad_p

島岡さん: そこまでやらない場合でも、いまからキーを生成しますと言って監査人の目の前でコマンドをたたく #http2study

2016-05-30 20:17:32
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 定常業務に入った後も、定期的に監査がある。指摘された点について是正していく #http2study

2016-05-30 20:18:05
Yoshiaki Itakura @ita_3y

認証曲の運用は箱の開封から始まります #http2study

2016-05-30 20:18:06
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 運用組織・体制の例: CP/CPSなどの策定できる人と運用する人を分離しなければならない。管理部門・監査部門・運用部門を作る #http2study

2016-05-30 20:19:46
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 真面目にやろうとするとすごい人数が必要になる。フルセットは大変なので、いろいろ工夫する。認証局だけで商売できるところは、複数の認証局を運用し、シェアして集約によって効率を上げられる #http2study

2016-05-30 20:21:16
Kaoru Maeda 前田 薫 @mad_p

島岡さん: DC内の通信の暗号化。正直答はない。私もニーズがよくわからない。必要なのは認証か暗号化か。暗号化だけならDNSSEC(+DANE)、TLS-PSKなど認証局の必要ない方法もある。共通鍵は鍵管理が大変なのでどっちが楽か #http2study

2016-05-30 20:23:26
Kaoru Maeda 前田 薫 @mad_p

島岡さん: DC内で認証が必要とする状況は何なのか。認証に関してはノードのアクセス制御で足りるのではないか。CAに固執する必要はない(もちろんCAであってもよい) #http2study

2016-05-30 20:24:12
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 相手が不定という場合はサーバー認証だけではなく相互認証が必要になるのではないか。どんなニーズがあるのでしょうか #http2study

2016-05-30 20:24:38
Kaoru Maeda 前田 薫 @mad_p

Jack: いままではDC外をHTTPS、DC内はほどいて入れてたのが普通だった。それでは、HTTP/2になったときに、DC内は平文だとHTTP/2使えないじゃん、(平文H2の実装が少ないから) #http2study

2016-05-30 20:26:06
Kaoru Maeda 前田 薫 @mad_p

Jack: DC内も暗号化すればいいじゃんという声があった。DC内の暗号化はそもそも必要なのか。どうできるのかと聞いて回ったらいろんな答があった。その中で、CAを立てることにはどのくらい現実味があるのか、という疑問が出てきた #http2study

2016-05-30 20:27:18
Kaoru Maeda 前田 薫 @mad_p

Jack: いまは平文HTTP/2の実装もでてきたので、平文でもH2でpushを使えるようになってはいる #http2study

2016-05-30 20:28:01
Kaoru Maeda 前田 薫 @mad_p

島岡さん: IPSECなど下位レイヤのものもある。しかしトラブルシューティングのときにキーエスクローしないと調査できない。下位レイヤは平文にしておき、アプリケーションレイヤでTLSというのは解としてあると思う(正しいかどうかは別として) #http2study

2016-05-30 20:30:12
Kaoru Maeda 前田 薫 @mad_p

島岡さん: トラフィック暗号化のためだけにパブリック認証局はやりすぎ。プライベートでよいなら、プライベートCAを出している認証局からのアウトソースで出してもらうことは可能。ただし使いたいように使えるかどうかは別 #http2study

2016-05-30 20:30:17
Kaoru Maeda 前田 薫 @mad_p

島岡さん: どこかのパブリックルートからクロスルートしてもらうことはできる。 #http2study

2016-05-30 20:31:57
Kaoru Maeda 前田 薫 @mad_p

会場から: しかしCAフォーラム通らないと下位CAにもなれない。半年に1回くらいのキーサインパーティーでないと署名してもらえないので、結局パブリックCAになるのと同じくらい時間がかかる。自前で立てるとやはりコストがかかる #http2study

2016-05-30 20:32:03
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 下位CAが必ずHSMが必要かというと規約上は必須ではない。ただし、ルート認証局がそれをたてに断ることはあり得る #http2study

2016-05-30 20:33:05
Kaoru Maeda 前田 薫 @mad_p

島岡さん: DC内のセッション数やトラフィックの総数によっても、暗号や認証の技術を選択するポイントは変わるはず。公開鍵と共通鍵で性能が全然違う。認証に公開鍵を使うと方式によって署名と検証にかかる計算コストの傾向が逆だったりする #http2study

2016-05-30 20:34:43
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 共通鍵であれば暗号化も復号も同じくらいのコストでできる。鍵管理のややこしさに対して、公開鍵を使うほうが得という選択はあり得そう #http2study

2016-05-30 20:36:22
Kaoru Maeda 前田 薫 @mad_p

島岡さん: そんなLet's Encryptで大丈夫か。向こう3年くらいは年間3億円近い運用予算を確保できるだろう。いまはIdenTrustの下位CAとして運用している。ここは予算があれば問題ない #http2study

2016-05-30 20:36:29
Kaoru Maeda 前田 薫 @mad_p

島岡さん: このあと独自ルートを立てるというと大変で、3億円あればできるとしても、それを継続していけるのかという問題がある。Let's Encryptがあたりまえの世界になると寄付は減っていくだろう。だんだん難しくなりそう #http2study

2016-05-30 20:37:23
Kaoru Maeda 前田 薫 @mad_p

島岡さん: セキュリティーは大丈夫なのか。ACMEプロトコルはまだ未成熟だが、いずれは枯れてくる。可用性の話もお金で解決できる。可用性に予算を回すかどうか、プロモーションに使うかという問題がある #http2study

2016-05-30 20:39:09
Kaoru Maeda 前田 薫 @mad_p

Jack: 人が問題。Mozillaは運用のための組織では元々ない。CA運用者に丸投げしてくれるほうがまだ安心できる #http2study

2016-05-30 20:39:14
Kaoru Maeda 前田 薫 @mad_p

島岡さん: 運用面: ほとんど情報ない。ルートCA(IdenTrust)の信頼性は後で議論。DV証明書は元々ドメイン程度のものなので、そこはあまり心配するところではない #http2study

2016-05-30 20:40:06
Kaoru Maeda 前田 薫 @mad_p

島岡さん: Let's Encrypt AuthorityはいまX3以外はstandbyになっているが、もうすぐX4が投入されそう。なぜ分けて複数作るかというとCRLが大きくなりすぎるから。ある程度CRLがたまったら順にCAを作って回していくのは、まっとう #http2study

2016-05-30 20:41:44
Kaoru Maeda 前田 薫 @mad_p

島岡さん: LEルートはいまMozillaで申請されている。Bugzillaで公開されている。2015/06ルートCA構築。2015/09 WebTrust for CA監査合格、同時にMozillaに申請 #http2study

2016-05-30 20:43:53
前へ 1 2 ・・ 5 次へ