Willkommen zur September 2019 Ausgabe von SSL.com Sicherheitsübersicht, eine Zusammenfassung zum Monatsende, in der wir wichtige Entwicklungen im Bereich SSL / hervorheben.TLS, digitale Zertifikate und digitale Sicherheit im Allgemeinen.
Heute werden wir über eine aktuelle berichten CA / B Forum Stimmzettel zielte darauf ab, SSL / zu reduzierenTLS Lebensdauer des Zertifikats, DNS über HTTPS In Firefox und Chrome ist Cloudflare neu WARP Service und eine neu entdeckte Seitenkanal Angriff, der Server ausnutzt, die mit anfälligen Intel-Chipsätzen betrieben werden.
CA / B Forum Stimmzettel SC22 schlägt fehl
CA / B Forum Stimmzettel SC22, ein Vorschlag zur Verkürzung der maximalen Gültigkeitsdauer von SSL /TLS Zertifikate von 825 Tagen bis zu einem Jahr im Forum Basisanforderungen, nicht bestanden Nach dem Ende der Abstimmung am 9. September wurde die Maßnahme von den Browsern einstimmig unterstützt, aber nur 35% der zuständigen Behörden stimmten mit JA, was weit unter den 66% lag, die für die Stimmabgabe erforderlich waren.
Die Unterstützer von Ballot SC22 nannten diese potenziellen Vorteile von kurzlebigen Zertifikaten:
- Schnellere Implementierung von Änderungen an den Basisanforderungen und den Browser- / Betriebssystem-Stammzertifizierungsprogrammen.
- Reduziertes Risiko durch gefährdete private Schlüssel, widerrufene Zertifikate und nicht ordnungsgemäß ausgestellte Zertifikate.
- Förderung des automatisierten Ersetzens von Zertifikaten und Verhinderung fehleranfälliger Ansätze zur Verfolgung der Lebensdauer von Zertifikaten (z. B. Tabellenkalkulationen).
Kritiker (einschließlich der Mehrheit der Zertifizierungsstellen) waren sich zwar manchmal im Prinzip einig, dass kürzere Zertifikatslebensdauern sicherer sind, und akzeptierten, dass dies die Richtung ist, in die sich die Branche bewegt
- Die Unterstützer des Wahlgangs hatten nicht genügend Daten vorgelegt, um die Bedrohung durch die aktuelle Lebensdauer der Zertifikate zu spezifizieren.
- Viele Kunden der Zertifizierungsstellen waren stark gegen die Maßnahme, insbesondere diejenigen, die derzeit nicht bereit waren, die Automatisierung zu implementieren.
SSL.com stimmte bei der Abstimmung mit JA und erklärte:
Angesichts der anhaltenden Debatte und der überzeugenden Argumente verstehen wir voll und ganz, warum andere Zertifizierungsstellen sich dafür entscheiden, mit NEIN zu stimmen oder sich zu enthalten. Im Rahmen unserer kontinuierlichen Bemühungen, als Zertifizierungsstelle reaktionsschnell und agil zu sein, ist dies jedoch die Richtung, in die wir gehen, unabhängig vom Ergebnis der Abstimmung.
Patrick Nohe vom SSL Store hat eine länger dauern zu SC22 und den unterschiedlichen Standpunkten.
DNS über HTTPS (DoH) in Firefox und Chrome
Mozilla und Google haben beide im September Ankündigungen zur Implementierung gemacht DNS über HTTPS (DoH) in Firefox und Chrome:
- . Der Chromium Blog angekündigt Am 10. September 2019 wird Chrome 78 ein Experiment enthalten, das DoH verwendet, jedoch nur, wenn der vorhandene DNS-Anbieter des Benutzers auf einer Liste ausgewählter DoH-kompatibler Anbieter steht, die im Browser enthalten sind.
- Firefox: Mozilla angekündigt Am 6. September 2019 wird DoH Ende September als Standardeinstellung für den Firefox-Browser in den USA eingeführt. Im Gegensatz zur Implementierung von Google verwendet Firefox standardmäßig die DoH-Server von Cloudflare (obwohl der Benutzer möglicherweise manuell einen anderen Anbieter angibt).
Britische Leser sollten beachten, dass “Internet-BösewichtFirefox wird nicht Aktivieren Sie DoH standardmäßig für Briten jederzeit bald; es ist jedoch sehr einfach zu ermöglichenLassen Sie sich also nicht davon abhalten, Ihre DNS-Abfragen nach Herzenslust zu verschlüsseln.
Apropos Cloudflare…
Cloudflare angekündigt am 25. September, dass es seine ausrollen wird WARP und WARPPlus (oder WARP + je nachdem, wo Sie es lesen) Dienstleistungen für die breite Öffentlichkeit über seine1.1.1.1 Mobile App, die die aktuelle Funktion der App erweitert, mobilen Benutzern verschlüsseltes DNS bereitzustellen.
Wie in Cloudflares früherem (und nicht täuschendem) 1. April beschrieben Ankündigung, WARP ist ein VPN, das um das Wireguard Protokoll, das den Netzwerkverkehr zwischen Mobilgeräten und dem Rand des Cloudflare-Netzwerks verschlüsselt. Der grundlegende WARP-Dienst wird kostenlos "ohne Bandbreitenbeschränkungen oder -beschränkungen" bereitgestellt. WARP Plus ist ein Premium-Service zum Preis von 4.99 USD pro Monat, der eine schnellere Leistung über das Argo-Netzwerk von Cloudflare bietet.
Cloudflare bietet derzeit 10 GB kostenloses WARP Plus für die ungefähr 2 Millionen Personen auf der WARP-Warteliste und 1 GB Service für die Empfehlung eines Freundes.
Leckt Ihr Server Tastenanschläge?
Das Register berichtet, dass Sicherheitsforscher der Sicherheitsforschungsgruppe VUSecvon der Vrije Universiteit Amsterdam haben a Seitenkanalangriff, genannt “NetCATDies ermöglicht es einem gut vernetzten Lauscher, das Timing zwischen Datenpaketen zu beobachten, die mithilfe von Intels Data Direct I / O an Server gesendet werden (DDIO) Technologie (dh alle seit 2012 herausgegebenen Xeon-Prozessoren der Serverqualität). VUSec-Forscher haben gezeigt, dass diese Daten verwendet werden können, um die Tastenanschläge eines Ziels zu rekonstruieren, indem sie mit einem Modell ihres Schreibverhaltens verglichen werden.
Glücklicherweise ist der NetCAT-Exploit nicht trivial zu implementieren und erfordert, dass der Angreifer direkt mit dem Server verbunden ist. Intel selbst charakterisiert die Verwundbarkeit als nicht besonders schwerwiegend
Durch die Verwendung zuvor veröffentlichter Best Practices für den Seitenkanalwiderstand in Softwareanwendungen und kryptografischen Implementierungen, einschließlich der Verwendung von Code mit konstanter Zeit, können die in dieser Studie beschriebenen Exploits gemindert werden.
Wenn Sie direkt zur Quelle gehen möchten, lesen Sie VUSecs WHITE PAPER auf den Angriff.
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.
