Velkommen til september 2019-udgaven af SSL.com's Sikkerhedsrundup, en slutning på månedens fordøjelse, hvor vi fremhæver vigtige udviklinger inden for SSL /TLS, digitale certifikater og digital sikkerhed generelt.
I dag dækker vi en nylig CA / B Forum-afstemning rettet mod at reducere SSL /TLS certifikat levetid, DNS over HTTPS i Firefox og Chrome er Cloudflares nye WARP service og en nyligt opdaget side-kanal angreb, der udnytter servere, der er drevet af sårbare Intel-chipsæt.
CA / B Forum-stemmeseddel SC22 mislykkes
CA / B Forum Ballot SC22, et forslag om at reducere den maksimale gyldighedsperiode på SSL /TLS certifikater fra 825 dage til et år i forummet Grundlæggende krav, mislykkedes at passere efter afstemningen sluttede den 9. september. Foranstaltningen blev enstemmigt understøttet af browsere, men kun 35% af de CA'er stemte JA, hvilket faldt langt under de 66%, der kræves for at afstemningen skulle gå.
Ballot SC22s bagmænd citerede disse potentielle fordele ved certifikater med kortere levetid:
- Hurtigere implementering af ændringer til Baseline Kravene og browser / OS rodcertificeringsprogrammer.
- Reduceret risiko fra kompromitterede private nøgler, tilbagekaldte certifikater og ukorrekt udstedte certifikater.
- Tilskyndelse til automatisk udskiftning af certifikater og afskrækkelse af fejlbenyttede tilgange til sporing af certifikatets levetid (f.eks. Regneark).
Fornærmere (inklusive flertallet af CA'er), mens de undertiden i princippet er enige om, at kortere certifikatlevetid er mere sikre og accepterer, at dette er den retning, som branchen går mod, fastholdt, at
- Afstemningens tilhængere havde ikke fremlagt tilstrækkelige data til at specificere truslen fra nuværende certifikatlevetid.
- Mange af CA'ernes kunder var stærkt modstandere af foranstaltningen, især dem, der i øjeblikket ikke var parat til at implementere automatisering.
SSL.com stemte JA ved afstemningen og sagde, at:
I betragtning af den igangværende debat og overbevisende argumenter, vi forstår fuldt ud, hvorfor andre CA'er vælger at stemme NEI eller undlade at stemme. Som en del af vores løbende bestræbelser på at være lydhøre og smidige som CA, er dette den retning, vi er på vej uanset resultatet af afstemningen.
SSL-butiks Patrick Nohe har en længere tage på SC22 og de forskellige præsenterede holdninger.
DNS over HTTPS (DoH) i Firefox og Chrome
Mozilla og Google offentliggjorde begge i september om implementering DNS over HTTPS (DoH) i Firefox og Chrome:
- Chrome: Chromium-bloggen annoncerede den 10. september 2019, at Chrome 78 inkluderer et eksperiment, der bruger DoH, men kun hvis brugerens eksisterende DNS-udbyder er på en liste over udvalgte DoH-kompatible udbydere, der er inkluderet i browseren.
- Firefox: Mozilla annoncerede den 6. september 2019, at de vil implementere DoH som en standardindstilling for sin Firefox-browser i USA i slutningen af september. I modsætning til Googles implementering, bruger Firefox som standard Cloudflares DoH-servere (selvom brugeren manuelt kan specificere en anden udbyder).
UK-læsere bør bemærke, at “internet skurk”Firefox vil ikke aktiver DoH som standard for briter snart når som helst; det er dog meget simpelt at gøre muliggøre, så lad ikke det forhindre dig i at kryptere dine DNS-forespørgsler til dit hjertes indhold.
Og når vi taler om Cloudflare ...
CloudFlare annoncerede den 25. september, at det vil udrulte dets WARP , WARPPus (eller WARP + afhængigt af hvor du læser det) tjenester til offentligheden via dens1.1.1.1 mobilapp, der udvider appens aktuelle funktion til at levere krypteret DNS til mobilbrugere.
Som beskrevet i Cloudflares tidligere (og ikke-narre) 1. april meddelelse, WARP er en VPN, bygget omkring Trådbeskyttelse protokol, der krypterer netværkstrafik mellem mobile enheder og kanten af Cloudflares netværk. Den grundlæggende WARP-tjeneste leveres gratis, "uden båndbreddehætter eller begrænsninger." WARP Plus er en premium-service til en pris af $ 4.99 pr. Måned, der tilbyder hurtigere ydeevne via Cloudflares Argo-netværk.
Cloudflare tilbyder i øjeblikket 10 GB gratis WARP Plus til de cirka 2 millioner mennesker på WARP-ventelisten og 1 GB service for henvisning til en ven.
Er din server lækkende tastetryk?
Registret rapporterer, at sikkerhedsforskere ved sikkerhedsforskningsgruppen VUSec, af Vrije Universiteit Amsterdam, har opdaget en sidekanalangreb, døbt "netcat, ”Der gør det muligt for en godt tilsluttet aflytning at observere timingen mellem datapakker sendt til servere ved hjælp af Intels Data Direct I / O (DDIO) -teknologi (dvs. alle servere-grade Xeon-processorer, der er udstedt siden 2012). VUSec-forskere demonstrerede, at disse data kan bruges til at rekonstruere et måls tastetryk ved at sammenligne dem med en model for deres typeadfærd.
Heldigvis er NetCAT-udnyttelsen ikke-triviel at implementere og kræver, at angriberen er direkte tilsluttet serveren. Intel selv karakteriserer sårbarheden som ikke-særlig alvorlig, idet det anføres
Anvendelse af tidligere offentliggjorte bedste fremgangsmåder til sidekanalmodstand i softwareapplikationer og kryptografiske implementeringer, herunder brug af konstant-tid-stilkode, kan afbøde de udnyttelser, der er beskrevet i denne forskning.
Hvis du gerne vil gå direkte til kilden, skal du tjekke VUSecs hvidt papir på angrebet.
Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.
