Bienvenido a la edición de septiembre de 2019 de SSL.com Resumen de seguridad, un resumen de fin de mes donde destacamos importantes desarrollos en el campo de SSL /TLS, certificados digitales y seguridad digital en general.
Hoy cubriremos una reciente Boleta de foro CA / B destinado a reducir SSL /TLS certificados de vida, DNS sobre HTTPS en Firefox y Chrome, el nuevo Cloudflare WARP servicio, y un recién descubierto canal lateral ataque que explota los servidores alimentados por chipsets Intel vulnerables.
La balota del foro CA / B SC22 falla
Boleta de foro CA / B SC22, una propuesta para reducir el período máximo de validez de SSL /TLS certificados de 825 días a un año en el foro Requisitos de referencia, no pudo pasar después de que la votación terminó el 9 de septiembre. La medida fue apoyada por unanimidad por los navegadores, pero solo el 35% de las AC votó SÍ, quedando muy por debajo del 66% requerido para que se apruebe la votación.
Los patrocinadores de Ballot SC22 citaron estos beneficios potenciales de los certificados de corta duración:
- Implementación más rápida de cambios en los requisitos de línea base y los programas de certificado raíz del navegador / SO.
- Riesgo reducido de claves privadas comprometidas, certificados revocados y certificados emitidos incorrectamente.
- Fomento del reemplazo automatizado de certificados y desaliento de enfoques propensos a errores para rastrear la vida útil de los certificados (como hojas de cálculo).
Los detractores (incluida la mayoría de las AC), aunque a veces aceptan en principio que la vida útil de los certificados más corta es más segura y aceptan que esta es la dirección en que se dirige la industria, sostuvieron que
- Los partidarios de la votación no habían presentado datos suficientes para especificar la amenaza que representa la vida útil actual de los certificados.
- Muchos de los clientes de las CA se opusieron firmemente a la medida, especialmente aquellos que actualmente no estaban preparados para implementar la automatización.
SSL.com votó SÍ en la boleta, indicando que:
Dado el debate en curso y los argumentos persuasivos presentados, entendemos completamente por qué otras AC eligen votar NO o abstenerse. Sin embargo, como parte de nuestros esfuerzos continuos para ser receptivos y ágiles como CA, esta es la dirección en la que nos dirigimos, independientemente del resultado de la votación.
Patrick Nohe de SSL Store tiene un toma más tiempo en SC22 y las diferentes posturas presentadas.
DNS sobre HTTPS (DoH) en Firefox y Chrome
Mozilla y Google hicieron anuncios en septiembre sobre la implementación DNS sobre HTTPS (DoH) en Firefox y Chrome:
- cromo: El blog de Chromium anunció el 10 de septiembre de 2019, Chrome 78 incluirá un experimento que usará DoH, pero solo si el proveedor de DNS existente del usuario está en una lista de proveedores compatibles con DoH seleccionados incluidos con el navegador.
- Firefox: Mozilla anunció el 6 de septiembre de 2019 que implementarán DoH como configuración predeterminada para su navegador Firefox en EE. UU. a fines de septiembre. A diferencia de la implementación de Google, Firefox utilizará los servidores DoH de Cloudflare de forma predeterminada (aunque el usuario puede especificar manualmente otro proveedor).
Los lectores del Reino Unido deben tener en cuenta que "villano de internet"Firefox no habilitar DoH por defecto para los británicos en cualquier momento pronto; sin embargo, es muy simple habilitar, así que no deje que eso le impida cifrar sus consultas de DNS al contenido de su corazón.
Y hablando de Cloudflare ...
Cloudflare anunció el 25 de septiembre que lanzará su WARP y WARP más (o WARP + dependiendo de dónde lo lea) servicios al público en general a través de su1.1.1.1 aplicación móvil, que amplía la función actual de la aplicación de proporcionar DNS cifrado a los usuarios móviles.
Como se describe en el anterior (y no engañoso) de Cloudflare del 1 de abril anuncio, WARP es una VPN, construida alrededor del Guardia de alambre protocolo, que cifra el tráfico de red entre dispositivos móviles y el borde de la red de Cloudflare. El servicio WARP básico se proporciona de forma gratuita, "sin límites ni limitaciones de ancho de banda". WARP Plus es un servicio premium, con un precio de $ 4.99 por mes, que ofrece un rendimiento más rápido a través de la red Argo de Cloudflare.
Cloudflare actualmente ofrece 10GB de WARP Plus gratis a los aproximadamente 2 millones de personas en la lista de espera de WARP, y 1GB de servicio por recomendar a un amigo.
¿Su servidor tiene fugas de teclas?
El registro informa que los investigadores de seguridad del grupo de investigación de seguridad VUSec, de Vrije Universiteit Amsterdam, han descubierto un ataque de canal lateral, apodado "netcat, ”Que permite a un intruso bien conectado observar el tiempo entre los paquetes de datos enviados a los servidores mediante la E / S Data Direct de Intel (DDIO) tecnología (es decir, todos los procesadores Xeon de nivel de servidor emitidos desde 2012). Los investigadores de VUSec demostraron que estos datos se pueden utilizar para reconstruir las pulsaciones de teclas de un objetivo comparándolas con un modelo de su comportamiento de escritura.
Afortunadamente, el exploit NetCAT no es trivial de implementar y requiere que el atacante esté directamente conectado al servidor. Intel mismo caracteriza la vulnerabilidad como no particularmente severa, indicando que
El empleo de las mejores prácticas publicadas anteriormente para la resistencia del canal lateral en aplicaciones de software e implementaciones criptográficas, incluido el uso de código de estilo de tiempo constante, puede mitigar los exploits descritos en esta investigación.
Si desea ir directamente a la fuente, consulte VUSec's detalles de la moneda en el ataque
¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.
