Vítejte v edici SSL.com ze září 2019 Zabezpečení, výtah z konce měsíce, kde zdůrazňujeme důležitý vývoj v oblasti SSL /TLS, digitální certifikáty a digitální zabezpečení obecně.
Dnes se budeme zabývat nedávným Hlasování CA / B fóra zaměřené na snížení SSL /TLS životnosti certifikátů, DNS přes HTTPS ve Firefoxu a Chrome je Cloudflare nový WARP služby a nově objevené postranní kanál útok využívající servery poháněné zranitelnými čipovými sadami Intel.
Selhání CA / B fóra SC22
CA / B fórum hlasování SC22, návrh na snížení maximální doby platnosti SSL /TLS certifikáty od 825 dnů do jednoho roku ve fóru Základní požadavky, nepodařilo se přihrát poté, co hlasování skončilo 9. září, opatření bylo jednomyslně podporováno prohlížeči, ale pouze 35% CA hlasovalo proti ANO, což značně nedosáhlo 66% požadovaných pro schválení hlasováním.
Podporovatelé společnosti Ballot SC22 uvedli tyto potenciální výhody certifikátů s kratší životností:
- Rychlejší implementace změn základních požadavků a programů kořenových certifikátů prohlížeče / OS.
- Snížené riziko ohrožených soukromých klíčů, zrušených certifikátů a nesprávně vydaných certifikátů.
- Podpora automatizované výměny certifikátů a odrazování od přístupů náchylných k chybám při sledování životnosti certifikátů (jako jsou tabulky).
Detektory (včetně většiny CA), i když v zásadě souhlasí s tím, že kratší doby platnosti certifikátů jsou bezpečnější, a uznávají, že tímto směrem se průmysl zaměřuje, tvrdí, že
- Příznivci hlasovacího lístku nepředložili dostatečné údaje k upřesnění ohrožení, které představuje současná doba platnosti certifikátu.
- Mnoho zákazníků certifikačních úřadů bylo rozhodně proti opatření, zejména těm, kteří v současné době nebyli připraveni implementovat automatizaci.
SSL.com pro hlasování hlasoval ANO a uvedl, že:
Vzhledem k probíhající debatě a přesvědčivým argumentům plně chápeme, proč se ostatní CA rozhodly hlasovat NE nebo se zdržely hlasování. V rámci našeho pokračujícího úsilí o to, abychom byli jako CA odpovědní a agilní, to je směr, kterým směřujeme, bez ohledu na výsledek hlasování.
Patrick Nohe z obchodu SSL Store má déle trvat na SC22 a různé prezentované postoje.
DNS přes HTTPS (DoH) ve Firefoxu a Chrome
Mozilla a Google obě v září oznámily implementaci DNS přes HTTPS (DoH) v prohlížeči Firefox a Chrome:
- Chrome: Blog o chromu oznámila, 10. září 2019 bude Chrome 78 obsahovat experiment, který bude používat DoH, ale pouze v případě, že stávající poskytovatel DNS uživatele je na seznamu vybraných poskytovatelů kompatibilních s DoH zahrnutých do prohlížeče.
- Firefox: Mozilla oznámila, 6. září 2019 uvedou, že budou na konci září představovat DoH jako výchozí nastavení pro svůj prohlížeč Firefox v USA. Na rozdíl od implementace Google bude Firefox ve výchozím nastavení používat servery Dof společnosti Cloudflare (ačkoli uživatel může ručně zadat jiného poskytovatele).
Čtenáři ve Velké Británii by si měli uvědomit, že „internetový darebák„Firefox bude ne ve výchozím nastavení povolit DoH Brzy pro Brity; je to však velmi jednoduché umožnitNedovolte, aby vám to nezabránilo v šifrování vašich dotazů DNS do obsahu vašeho srdce.
A když už mluvíme o Cloudflare ...
Cloudflare oznámila, 25. září, že bude jeho uvedení WARP a WARPPplus (nebo WARP + v závislosti na tom, kde si jej přečtete) služby pro veřejnost prostřednictvím jeho1.1.1.1 mobilní aplikace, což rozšiřuje její současnou funkci poskytování šifrovaného DNS mobilním uživatelům.
Jak je popsáno v Cloudflare dříve (a neklamem) 1. dubna oznámení, WARP je VPN postavená na internetu Drátěný strážce protokol, který šifruje síťový provoz mezi mobilními zařízeními a okrajem sítě Cloudflare. Základní služba WARP je poskytována zdarma, „bez omezení šířky pásma nebo omezení.“ WARP Plus je prémiová služba za cenu 4.99 USD měsíčně, která nabízí rychlejší výkon prostřednictvím sítě Argo společnosti Cloudflare.
Cloudflare v současné době nabízí přibližně 10 milionům lidí na čekací listině WARP 2 GB bezplatného WARP Plus a 1 GB služby pro doporučení přítele.
Je váš server unikající klávesové úhozy?
Registru uvádí, že výzkumní pracovníci v oblasti bezpečnosti ve výzkumné skupině VUSEC, z Vrije Universiteit Amsterdam, objevili a útok bočního kanálu, přezdívaná „NetCAT„, Což umožňuje dobře připojenému odposlechu sledovat načasování mezi pakety dat odesílaných na servery pomocí Intel Data Direct I / O (DDIO) (tj. všechny procesory Xeon na úrovni serveru vydané od roku 2012). Výzkumníci VUSec prokázali, že tato data lze použít k rekonstrukci úhozů cíle jejich porovnáním s modelem jejich typického chování.
Naštěstí je implementace NetCAT netriviální a vyžaduje, aby byl útočník přímo připojen k serveru. Intel sám charakterizuje zranitelnost, která není zvlášť závažná, a uvádí to
Využití dříve publikovaných osvědčených postupů pro odolnost postranního kanálu v softwarových aplikacích a kryptografických implementacích, včetně použití kódu stylu v konstantním čase, může zmírnit zneužití popsaná v tomto výzkumu.
Pokud byste chtěli jít přímo ke zdroji, podívejte se na VUSec bílý papír na útok.
Děkujeme, že jste si vybrali SSL.com! Pokud máte nějaké dotazy, kontaktujte nás e-mailem na adrese Support@SSL.com, volání 1-877-SSL-SECURE, nebo jednoduše klikněte na odkaz chat v pravé dolní části této stránky.
