Καλώς ήλθατε στην έκδοση Σεπτεμβρίου 2019 του SSL.com Ενημέρωση ασφαλείας, μια σύνοψη στο τέλος του μήνα όπου επισημαίνουμε σημαντικές εξελίξεις στον τομέα του SSL /TLS, ψηφιακά πιστοποιητικά και ψηφιακή ασφάλεια γενικά.
Σήμερα θα καλύψουμε ένα πρόσφατο Ψηφοφορία CA / B Forum με στόχο τη μείωση του SSL /TLS διάρκεια ζωής πιστοποιητικού, DNS μέσω HTTPS στο Firefox και το Chrome, το Cloudflare είναι νέο WARP υπηρεσία, και ένα νέο που ανακαλύφθηκε πλαϊνό κανάλι επίθεση που εκμεταλλεύεται διακομιστές που τροφοδοτούνται από ευάλωτα chipset Intel.
Αποτυχία ψηφοφορίας CA / B Forum SC22
CA / B Forum ψηφοφορία SC22, πρόταση για μείωση της μέγιστης περιόδου ισχύος SSL /TLS πιστοποιητικά από 825 ημέρες έως ένα έτος στο φόρουμ Απαιτήσεις βασικής γραμμής, απέτυχε να περάσει μετά την ψηφοφορία που έληξε στις 9 Σεπτεμβρίου. Το μέτρο υποστηρίχθηκε ομόφωνα από τα προγράμματα περιήγησης, αλλά μόνο το 35% των ΑΠ ψήφισαν ΝΑΙ, υπολείποντας πολύ το 66% που απαιτείται για την ψήφο.
Οι υποστηρικτές του Ballot SC22 ανέφεραν αυτά τα πιθανά οφέλη από πιστοποιητικά μικρότερης διάρκειας ζωής:
- Ταχύτερη εφαρμογή των αλλαγών στις βασικές απαιτήσεις και στα προγράμματα πιστοποιητικών ρίζας προγράμματος περιήγησης / λειτουργικού συστήματος.
- Μειωμένος κίνδυνος από παραβιασμένα ιδιωτικά κλειδιά, ανακληθέντα πιστοποιητικά και εσφαλμένα εκδοθέντα πιστοποιητικά.
- Ενθάρρυνση της αυτοματοποιημένης αντικατάστασης πιστοποιητικών και αποθάρρυνση προσεγγίσεων επιρρεπείς σε σφάλματα στην παρακολούθηση της διάρκειας ζωής του πιστοποιητικού (όπως υπολογιστικά φύλλα).
Οι επικριτές (συμπεριλαμβανομένης της πλειονότητας των ΑΠ), ενώ μερικές φορές συμφωνούν κατ 'αρχήν ότι οι βραχύτερες διάρκεια ζωής του πιστοποιητικού είναι πιο ασφαλείς και αποδέχονται ότι αυτή είναι η κατεύθυνση που κατευθύνεται ο κλάδος, υποστήριξε ότι
- Οι υποστηρικτές της ψηφοφορίας δεν είχαν παρουσιάσει επαρκή στοιχεία για να προσδιορίσουν την απειλή που δημιουργούν οι τρέχουσες διάρκεια ζωής του πιστοποιητικού.
- Πολλοί από τους πελάτες των ΑΠ αντιτάχθηκαν έντονα στο μέτρο, ειδικά εκείνοι που δεν ήταν διατεθειμένοι να εφαρμόσουν αυτοματοποίηση.
SSL.com ψήφισαν ΝΑΙ στην ψηφοφορία, δηλώνοντας ότι:
Λαμβάνοντας υπόψη τη συνεχιζόμενη συζήτηση και τα πειστικά επιχειρήματα που παρουσιάζονται, καταλαβαίνουμε πλήρως γιατί άλλες ΑΑ επιλέγουν να ψηφίσουν ΟΧΙ ή να απόσχουν. Ωστόσο, ως μέρος των συνεχιζόμενων προσπαθειών μας να είμαστε ευαίσθητοι και ευέλικτοι ως ΑΠ, αυτή είναι η κατεύθυνση που ακολουθούμε, ανεξάρτητα από το αποτέλεσμα της ψηφοφορίας.
Το Patrick Nohe του SSL Store διαθέτει περισσότερο στο SC22 και τις διαφορετικές στάσεις που παρουσιάζονται.
DNS μέσω HTTPS (DoH) στον Firefox και το Chrome
Η Mozilla και η Google ανακοίνωσαν και οι δύο τον Σεπτέμβριο σχετικά με την εφαρμογή DNS μέσω HTTPS (DoH) στο Firefox και το Chrome:
- Χρώμιο: Το ιστολόγιο Chromium ανακοίνωσε στις 10 Σεπτεμβρίου 2019 ότι το Chrome 78 θα περιλαμβάνει ένα πείραμα που θα χρησιμοποιεί το DoH, αλλά μόνο εάν ο υπάρχων πάροχος DNS του χρήστη βρίσκεται σε μια λίστα επιλεγμένων παρόχων συμβατών με DoH που περιλαμβάνονται στο πρόγραμμα περιήγησης.
- Firefox: Mozilla ανακοίνωσε στις 6 Σεπτεμβρίου 2019 ότι θα κυκλοφορήσει το DoH ως προεπιλεγμένη ρύθμιση για το πρόγραμμα περιήγησης Firefox στις ΗΠΑ στα τέλη Σεπτεμβρίου. Σε αντίθεση με την εφαρμογή της Google, ο Firefox θα χρησιμοποιεί τους διακομιστές DoH του Cloudflare από προεπιλογή (αν και ο χρήστης μπορεί να καθορίσει χειροκίνητα έναν άλλο πάροχο).
Οι αναγνώστες του Ηνωμένου Βασιλείου πρέπει να σημειώσουν ότι «κακοποιός στο διαδίκτυοΟ Firefox θα το κάνει δεν ενεργοποιήστε το DoH από προεπιλογή για Βρετανούς σύντομα. Ωστόσο, είναι πολύ απλό ενεργοποιήσετε, οπότε μην το αφήσετε να σας εμποδίσει να κρυπτογραφήσετε τα ερωτήματά σας DNS στο περιεχόμενο της καρδιάς σας.
Και μιλώντας για το Cloudflare…
Cloudflare ανακοίνωσε στις 25 Σεπτεμβρίου ότι θα κυκλοφορήσει WARP και WARPPlus (Ή WARP + ανάλογα με το πού το διαβάζετε) υπηρεσίες προς το ευρύ κοινό μέσω του1.1.1.1 εφαρμογή για κινητά, επεκτείνοντας την τρέχουσα λειτουργία της εφαρμογής της παροχής κρυπτογραφημένου DNS σε χρήστες κινητών.
Όπως περιγράφεται στο Cloudflare νωρίτερα (και χωρίς να ξεγελάσει) την 1η Απριλίου ανακοίνωση, Το WARP είναι ένα VPN, κατασκευασμένο γύρω από το Wireguard πρωτόκολλο, που κρυπτογραφεί την κυκλοφορία δικτύου μεταξύ κινητών συσκευών και την άκρη του δικτύου Cloudflare. Η βασική υπηρεσία WARP παρέχεται δωρεάν, «χωρίς όρια εύρους ζώνης ή περιορισμούς». Το WARP Plus είναι μια premium υπηρεσία, με τιμή 4.99 $ ανά μήνα, η οποία προσφέρει ταχύτερη απόδοση μέσω του δικτύου Argo του Cloudflare.
Το Cloudflare προσφέρει επί του παρόντος 10 GB δωρεάν WARP Plus στα περίπου 2 εκατομμύρια άτομα στη λίστα αναμονής WARP και 1 GB υπηρεσίας για παραπομπή σε έναν φίλο.
Ο διακομιστής σας έχει διαρροές πλήκτρων;
Το μητρώο αναφέρει ότι ερευνητές ασφαλείας στην ερευνητική ομάδα ασφαλείας VUSec, του Vrije Universiteit Amsterdam, ανακάλυψαν ένα επίθεση μέσω πλευρικών καναλιών, με το όνομα "NetCAT, "Που επιτρέπει σε έναν καλά συνδεδεμένο υποκλοπές να παρακολουθεί το χρόνο μεταξύ πακέτων δεδομένων που αποστέλλονται σε διακομιστές χρησιμοποιώντας το Intel Direct Data I / O (DDIO) τεχνολογία (δηλαδή όλοι οι επεξεργαστές Xeon βαθμού διακομιστή που εκδόθηκαν από το 2012). Οι ερευνητές του VUSec απέδειξαν ότι αυτά τα δεδομένα μπορούν να χρησιμοποιηθούν για την ανακατασκευή των πλήκτρων ενός στόχου συγκρίνοντάς τα με ένα μοντέλο της συμπεριφοράς τους στην πληκτρολόγηση.
Ευτυχώς, το NetCAT exploit δεν είναι ασήμαντο για εφαρμογή και απαιτεί ο εισβολέας να συνδεθεί απευθείας με τον διακομιστή. Η ίδια η Intel χαρακτηρίζει η ευπάθεια ως μη ιδιαίτερα-σοβαρή, δηλώνοντας ότι
Η χρήση βέλτιστων πρακτικών που έχουν δημοσιευτεί στο παρελθόν για αντοχή σε πλευρικά κανάλια σε εφαρμογές λογισμικού και κρυπτογραφικές εφαρμογές, συμπεριλαμβανομένης της χρήσης κώδικα στυλ σταθερού χρόνου, μπορεί να μετριάσει τα πλεονεκτήματα που περιγράφονται σε αυτήν την έρευνα.
Εάν θέλετε να μεταβείτε κατευθείαν στην πηγή, ρίξτε μια ματιά στα VUSec's λευκό χαρτί στην επίθεση.
Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας στην κάτω δεξιά γωνία αυτής της σελίδας.
