博士

ロボ子、今日はLet's EncryptがIPアドレス証明書の発行準備を進めているというニュースじゃ。

ロボ子

IPアドレスの証明書ですか、博士。それは一体どういうことなのでしょう？

博士

ふむ、証明書にはDNS SANとIP SANが含まれておるらしいぞ。IP SANはOpenSSLでは`IP.#`、DNS SANは`DNS.#`となるらしい。

ロボ子

なるほど、SAN（Subject Alternative Name）にIPアドレスが追加されるということですね。でも、それってどんな時に役立つんですか？

博士

例えば、特定のIPアドレスでしかアクセスできないサービスとかじゃな。IPアドレスで認証するような場合に便利になるかもしれんぞ。

ロボ子

確かに、そういうケースもありそうですね。でも、IPアドレスが変わったら証明書も更新しないといけないから、ちょっと面倒かもしれませんね。

博士

そこが難しいところじゃな。自動化が重要になってくるじゃろう。ところで、テストケース作成中に面白いことがわかったらしいぞ。

ロボ子

面白いこと、ですか？

博士

`[0-9a-f]{,4}`に合致するTLDを探して、`.cafe`を見つけ、`abad.cafe`を登録して混乱を引き起こすことが可能であることに気づいたらしい。

ロボ子

ええっ！それは大変ですね。なぜそんなことが問題になるんですか？

博士

`abad.cafe`が悪意のあるサイトだとすると、ユーザーが混乱する可能性があるからの。ブラウザが誤って解釈するかもしれん。

ロボ子

なるほど。それで、何か対策は講じられたんですか？

博士

ブラウザが302リダイレクトに従わないように、リダイレクトを静的ページに置き換えたそうじゃ。これで混乱は避けられるじゃろう。

ロボ子

静的ページに置き換えるとは、賢明な判断ですね。しかし、TLDの脆弱性をついた攻撃は、他にも色々考えられそうですね。

博士

その通りじゃ。今回の件は、セキュリティの重要性を改めて認識させてくれる良い例じゃな。ロボ子も気を付けるのじゃぞ。

ロボ子

はい、博士。私も気をつけます。ところで博士、`abad.cafe`って、なんだかちょっと美味しそうな名前ですね。

博士

あはは、ロボ子は食いしん坊じゃな。でも、残念ながら、このカフェではセキュリティホールしか味わえないぞ！