TLS証明書関連で把握しておきたい話(PQC、MTC、Q-Day、Web PKI/Internal PKI、CA/BF)
最近見たTLS証明書関連の記事についてのメモです。
本当にメモだけです。
目次
PQC、MTC
あわせて読みたい


A Post-Quantum Future for Let’s Encrypt
Let’s Encrypt is committed to a post-quantum-safe Web PKI. The path we’re planning to take is Merkle Tree Certificates (“MTCs”), a new approach that adds post-q…
PQC(ポスト量子暗号)
MTC(Merkle Tree Certificates )
PQC証明書のサイズと検証コスト→Merkle Treeで軽減
複数の証明書発行でTreeを1つ構築&Rootに1回署名で済む
実質的なCT(Certificate Transparency)
Q-Day
The Cloudflare Blog


Cloudflare targets 2029 for full post-quantum security
Recent advances in quantum hardware and software have accelerated the timeline on which quantum attack might happen. Cloudflare is responding by moving our targ…
Google は 2030 年にも Q-Day が到来することを懸念
Qデーとは、十分な性能を持つ量子コンピュータが、現在システム間でデータとアクセスを保護するために使用されている重要な暗号を破ることができるようになる日
Web PKI/Internal PKI
あわせて読みたい


Everything you should know about certificates and PKI but are too afraid to ask
Certificates and public key infrastructure (PKI) are hard. No shit, right? I know a lot of smart people who”ve avoided this particular rabbit hole. Eventually,…
Web PKI エコシステムの信頼
パブリックCAを必要以上に信用したくない
ブラウザ組み込みCA(100+)は、グループとしては経験的に信用できず、Web PKIは最もセキュリティの低いCAと同じくらいしか安全にならないことがすぐにわかる
外部公開にはWeb PKIを使い、内部通信にはInternal PKIを使うべき
「DNS名の所有確認」ではなく「既存のアイデンティティ基盤を証明書発行の根拠に使う」という考え方
補足:CA/BF
(有効期限短縮も背景の1つとして)
CA/Browser Forum


Ballot SC081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods
Voting Results Certificate Issuers 30 votes in total:
Eventual reduction of maximum validity period from 398 days to 47 days
~March 2029






