تقرير الأمان في سبتمبر 2019

مرحبًا بكم في إصدار سبتمبر 2019 من SSL.com تقرير أمني، ملخص نهاية الشهر حيث نسلط الضوء على التطورات المهمة في مجال SSL /TLSوالشهادات الرقمية والأمن الرقمي بشكل عام.

اليوم سوف نغطي آخر اقتراع CA / B Forum تهدف إلى تقليل SSL /TLS عمر الشهادة ، DNS عبر HTTPS في Firefox و Chrome ، الجديد في Cloudflare WARP الخدمة ، واكتشافه حديثا جنبا إلى قناة هجوم يستغل الخوادم المدعومة بشرائح Intel الضعيفة.

فشل CA / B الاقتراع منتدى SC22

CA / B منتدى الاقتراع SC22، مقترح لتقليل فترة الصلاحية القصوى لـ SSL /TLS شهادات من 825 يوم الى سنة فى المنتدى متطلبات خط الأساس, فشل في المرور بعد انتهاء التصويت في 9 سبتمبر. تم دعم الإجراء بالإجماع من قبل المتصفحات ، ولكن 35 ٪ فقط من CAs صوتوا بـ YES ، أقل بكثير من 66 ٪ المطلوبة لتمرير الاقتراع.

استشهد مؤيدو Ballot SC22 بهذه الفوائد المحتملة من الشهادات ذات العمر القصير:

• تنفيذ أسرع للتغييرات على متطلبات خط الأساس وبرامج الشهادات الجذر للمتصفح / نظام التشغيل.
• تقليل المخاطر الناتجة عن اختراق المفاتيح الخاصة وإلغاء الشهادات والشهادات الصادرة بشكل غير صحيح.
• التشجيع على الاستبدال الآلي للشهادة ، وعدم تشجيع الطرق المعرضة للخطأ لتتبع عمر الشهادة (مثل جداول البيانات).

المنتقصون (بما في ذلك أغلبية CAs) ، بينما يتفقون أحيانًا من حيث المبدأ على أن عمر الشهادة الأقصر أكثر أمانًا ويقبل أن هذا هو الاتجاه الذي تتجه إليه الصناعة ،

• لم يقدم مؤيدو الاقتراع بيانات كافية لتحديد التهديد الذي يمثله عمر الشهادة الحالية.
• عارض العديد من عملاء CAs بشدة هذا الإجراء ، وخاصة أولئك الذين لم يكونوا مستعدين حاليًا لتنفيذ الأتمتة.

SSL.com صوتت بنعم على بطاقة الاقتراع ، قائلة:

نظرًا للمناقشة الجارية والحجج المقنعة المقدمة ، فإننا نفهم تمامًا سبب اختيار CAs للتصويت بـ NO أو الامتناع عن التصويت. ومع ذلك ، كجزء من جهودنا المستمرة لتكون مستجيبة ورشيقة كمصدق ، هذا هو الاتجاه الذي نتجه بغض النظر عن نتيجة الاقتراع.

يمتلك Patrick Nohe من SSL Store ملف يستغرق وقتا أطول على SC22 والمواقف المختلفة المعروضة.

DNS عبر HTTPS (DoH) في Firefox و Chrome

أعلنت كل من موزيلا وجوجل عن إعلانات في سبتمبر حول التنفيذ DNS عبر HTTPS (DoH) في Firefox و Chrome:

• جوجل كروم: مدونة Chromium أعلن في 10 سبتمبر 2019 ، سيشمل Chrome 78 تجربة ستستخدم DoH ، ولكن فقط إذا كان موفر DNS الحالي للمستخدم مدرجًا في قائمة موفري الخدمة المتوافقين مع DoH والمضمنين في المتصفح.
• فايرفوكس: موزيلا أعلن في 6 سبتمبر 2019 ، سيتم طرح DoH كإعداد افتراضي لمتصفح Firefox في الولايات المتحدة الأمريكية في أواخر سبتمبر. على عكس تطبيق Google ، سيستخدم Firefox خوادم DoH في Cloudflare بشكل افتراضي (على الرغم من أن المستخدم قد يحدد يدويًا موفرًا آخر).

يجب أن يلاحظ قراء المملكة المتحدة أن "الشرير الإنترنتسوف Firefox ليس تمكين DoH بشكل افتراضي للبريطانيين في أي وقت قريب ؛ ومع ذلك ، فمن السهل جدا تمكين، لذلك لا تدع ذلك يمنعك من تشفير استعلامات DNS الخاصة بك لمحتوى قلبك.

والحديث عن Cloudflare ...

كلودفلاري أعلن يوم 25 سبتمبر أنه سيتم طرحه WARP و WARPPlus (أو WARP + اعتمادا على المكان الذي تقرأ فيه) الخدمات لعامة الناس عبر1.1.1.1 تطبيق جوال ، يوسع الوظيفة الحالية للتطبيق المتمثلة في توفير DNS المشفر لمستخدمي الأجهزة المحمولة.

كما هو موضح في Cloudflare سابقًا (وغير خادع) في 1 أبريل إعلان، WARP هو VPN ، مبني حول Wireguard البروتوكول الذي يشفر حركة مرور الشبكة بين الأجهزة المحمولة وحافة شبكة Cloudflare. يتم توفير خدمة WARP الأساسية مجانًا ، "بدون حدود أو حدود لعرض النطاق الترددي." WARP Plus هي خدمة متميزة ، بسعر 4.99 دولارًا أمريكيًا شهريًا ، وتوفر أداءً أسرع عبر شبكة Argo الخاصة بـ Cloudflare.

يقدم Cloudflare حاليًا 10 جيجابايت من WARP Plus مجانًا لحوالي 2 مليون شخص في قائمة انتظار WARP ، و 1 جيجابايت من الخدمة لإحالة صديق.

هل يقوم خادمك بتسريب ضغطات المفاتيح؟

السجل تقارير أن الباحثين الأمنيين في مجموعة البحوث الأمنية VUSec، من جامعة فريجي أمستردام ، اكتشفوا هجوم القناة الجانبية، مدبلجة "أداة netcat، "الذي يسمح للتنصت المتصل جيدًا بمراقبة التوقيت بين حزم البيانات المرسلة إلى الخوادم باستخدام إدخال / إخراج Data Direct من Intel (ديديو) التكنولوجيا (أي جميع معالجات Xeon من فئة الخوادم الصادرة منذ 2012). أظهر باحثو VUSec أنه يمكن استخدام هذه البيانات لإعادة بناء ضغطات مفاتيح الهدف من خلال مقارنتها بنموذج لسلوكهم في الكتابة.

لحسن الحظ ، فإن استغلال NetCAT ليس سهلاً في التنفيذ ويتطلب أن يكون المهاجم متصلاً مباشرةً بالخادم. إنتل نفسها يميز الثغرة بأنها ليست شديدة الخطورة ، مشيرة إلى ذلك

يمكن أن يؤدي استخدام أفضل الممارسات التي تم نشرها مسبقًا لمقاومة القناة الجانبية في تطبيقات البرامج وتطبيقات التشفير ، بما في ذلك استخدام رمز نمط الوقت الثابت ، إلى التخفيف من عمليات الاستغلال الموضحة في هذا البحث.

إذا كنت ترغب في الذهاب مباشرة إلى المصدر ، تحقق من VUSec's ورقة بيضاء على الهجوم.

شكرًا لاختيارك SSL.com! إذا كان لديك أي أسئلة ، يرجى الاتصال بنا عبر البريد الإلكتروني على Support@SSL.com، مكالمة 1-877-SSL-SECURE، أو فقط انقر على رابط الدردشة في أسفل يمين هذه الصفحة.