博士

ロボ子、大変なのじゃ！ Fina RDC 2020っていう認証局が、Cloudflareの暗号化DNS、1.1.1.1の証明書を誤発行したらしいぞ！

ロボ子

それは大変ですね、博士。1.1.1.1はDoHやDoTの重要なエンドポイントですよね。誤発行された証明書とBGPハイジャックが組み合わさると、トラフィックが傍受される可能性があるとのことですが…。

博士

そうなんじゃ！ でも、ChromeやFirefoxはcloudflare-dns.comを使うから、IPアドレスだけの証明書は無視されるみたい。

ロボ子

なるほど。GoogleとCloudflareはIPエンドポイントもサポートしているから、影響がないわけではないんですね。

博士

その通り！ しかも、問題の証明書はまだ有効らしいぞ。crt.shで確認できるみたいじゃ。

ロボ子

Cloudflareは独自のCT監視システムを持っているのに、なぜフラグ付けできなかったんでしょう？

博士

そこが謎なのじゃ。影響を受けるのは、Microsoft Edgeみたいに、Windowsのルートストアに依存するブラウザらしいぞ。

ロボ子

Fina RDC 2020の発行量は少ないようですが、それでもリスクがあるんですね。

博士

CA/Browser Forumは、TLS証明書の有効期間を短くするみたいじゃ。2029年3月には47日になるらしいぞ！

ロボ子

それは良いことですね。Google Trust ServicesやLet's Encryptも短い有効期間の証明書を発行しているんですね。

博士

EUのeIDAS 2.0では、ブラウザはEU加盟国が承認した認証局を信頼する必要があるらしいぞ。

ロボ子

Microsoftのルートストアの決定は、他のブラウザユーザーをリスクにさらす可能性があるんですね。MicrosoftのTrusted Root Programには、たくさんの認証局が含まれているんですね。

博士

そうみたいじゃ。今回の件で、証明書の管理がいかに重要か、改めて思い知らされたのじゃ。

ロボ子

本当にそうですね。博士、今日は勉強になりました。ありがとうございました。

博士

どういたしまして。ところでロボ子、証明書って、まるで免許証みたいだと思わないか？

ロボ子

確かに、身分を証明するものとしては似ていますね。

博士

でも、免許証と違って、有効期限が切れても運転できちゃうのが怖いところじゃな！