Tervetuloa SSL.com: n syyskuun 2019 versioon Turvallisuus Roundup, kuukauden lopun tiivistelmä, jossa tuomme esiin tärkeitä tapahtumia SSL /TLS, digitaaliset sertifikaatit ja digitaalinen tietoturva yleensä.
Tänään käsittelemme viimeaikaista CA / B-foorumin äänestyskierros jonka tarkoituksena on vähentää SSL /TLS todistusten voimassaoloajat, DNS HTTPS: n kautta Firefoxissa ja Chromessa, Cloudflaren uusi WARP palvelu ja vasta löydetty puoli-kanava hyökkäys, joka hyödyntää haavoittuvien Intel-piirisarjojen käyttämiä palvelimia.
CA / B-keskustelupalsta SC22 epäonnistuu
CA / B-keskustelupalsta SC22ehdotus SSL /TLS sertifikaatit 825 päivästä yhteen vuoteen foorumilla Perusvaatimukset, epäonnistui äänestyksen jälkeen päättyi 9. syyskuuta. Selaimet kannattivat yksimielisesti toimenpidettä, mutta vain 35 prosenttia CA: sta äänesti KYLLÄ, mikä oli kaukana 66 prosentista, joka vaaditaan äänestyskierroksen läpäisemiseksi.
Ballot SC22: n tukijat mainitsivat nämä lyhytaikaisista todistuksista saatavat mahdolliset edut:
- Perusvaatimuksiin ja selaimen / käyttöjärjestelmän päävarmennusohjelmiin tehtyjen muutosten nopeampi toteuttaminen.
- Pienempi riski vaarantuneista yksityisistä avaimista, peruutetuista varmenteista ja väärin annetuista varmenteista.
- Rohkaistaan varmenteiden automaattista vaihtamista ja estämään virheille alttiita lähestymistapoja sertifikaattien eliniän seurantaan (kuten laskentataulukoita).
Detraktorit (mukaan lukien suurin osa CA: sta), vaikka toisinaan ovat periaatteessa yhtä mieltä siitä, että lyhyemmät todistusten voimassaoloajat ovat turvallisempia, ja myöntävät, että tämä on alan suunta, jatkoivat sitä, että
- Lippujen kannattajat eivät olleet toimittaneet riittävästi tietoja varmenteiden voimassaoloaikojen aiheuttaman uhan määrittelemiseksi.
- Monet CA: n asiakkaista vastustivat voimakkaasti toimenpidettä, etenkin ne, jotka eivät tällä hetkellä olleet valmiita toteuttamaan automaatiota.
SSL.com äänesti KYLLÄ äänestyksessä ja totesi seuraavaa:
Kun otetaan huomioon käynnissä oleva keskustelu ja esitetyt vakuuttavat väitteet, ymmärrämme täysin, miksi muut CA: t päättävät äänestää EI tai pidättäytyä äänestämästä. Osana jatkuvaa ponnistelujamme olla reagoiva ja ketterä CA: na on kuitenkin tämä suunta, jota etenemme äänestysten lopputuloksesta riippumatta.
SSL Storen Patrick Nohella on pidempi kestää SC22: ssä ja esitetyt erilaiset asenteet.
DNS HTTPS: n (DoH) kautta Firefoxissa ja Chromessa
Mozilla ja Google ovat molemmat syyskuussa ilmoittaneet toteuttamisesta DNS HTTPS: n kautta (DoH) Firefoxissa ja Chromessa:
- Kromi: Chromium-blogi ilmoitti 10. syyskuuta 2019, että Chrome 78 sisältää kokeilun, joka käyttää DoH: ta, mutta vain, jos käyttäjän nykyinen DNS-palveluntarjoaja on selaimen mukana olevien valittujen DoH-yhteensopivien palveluntarjoajien luettelossa.
- firefox: mozilla ilmoitti 6. syyskuuta 2019, että he ottavat DoH: n käyttöön oletusasetuksena Firefox-selaimelle Yhdysvalloissa syyskuun lopulla. Toisin kuin Googlen toteutus, Firefox käyttää oletuksena Cloudflaren DoH-palvelimia (vaikka käyttäjä voi määrittää toisen palveluntarjoajan manuaalisesti).
Yhdistyneen kuningaskunnan lukijoiden tulisi huomata, ettäInternetin konna”Firefox tulee emme ota DoH käyttöön oletuksena britteille milloin tahansa pian; se on kuitenkin hyvin yksinkertainen mahdollistaa, joten älä anna sen estää sinua salaamasta DNS-kyselysi sydämesi sisällön mukaan.
Ja puhuen Cloudflaresta ...
CloudFlare ilmoitti 25. syyskuuta, että se aloittaa toimintansa WARP ja WARPPlus (Tai WARP + sen mukaan, mistä luet sen), palvelut yleisölle sen kautta1.1.1.1 mobiilisovellus, laajentamalla sovelluksen nykyistä toimintoa, joka tarjoaa salatun DNS: n mobiilikäyttäjille.
Kuten on kuvattu Cloudflaren aikaisemmassa (ja ei-hämmentävässä) 1. huhtikuuta ilmoitus, WARP on VPN, joka on rakennettu suojaverkko protokolla, joka salaa verkkoliikenteen mobiililaitteiden ja Cloudflare-verkon reunan välillä. WARP-peruspalvelu tarjotaan ilmaiseksi "ilman kaistanleveyden rajoituksia tai rajoituksia". WARP Plus on ensiluokkainen palvelu, jonka hinta on 4.99 dollaria kuukaudessa ja joka tarjoaa nopeamman suorituskyvyn Cloudflaren Argo-verkon kautta.
Cloudflare tarjoaa tällä hetkellä 10 Gt ilmaista WARP Plus -sääntöä noin 2 miljoonalle WARP-odotuslistalla olevalle henkilölle ja 1 Gt palvelun ystävälle lähettämiseen.
Onko palvelimestasi vuotavia näppäimistöjä?
Rekisteri raportoi, että turvallisuuden tutkijat turvallisuustutkimusryhmässä VUSec, Vrije Universiteit Amsterdam, ovat löytäneet sivukanavan hyökkäys, dubattuna "netcat, Jonka avulla hyvin kytketty salakuuntelija voi tarkkailla ajoitusta palvelimille lähetettyjen datapakettien välillä Intelin Data Direct I / O -ominaisuuden avulla (DDIO) tekniikka (ts. kaikki palvelimelle tarkoitetut Xeon-prosessorit, jotka on julkaistu vuodesta 2012). VUSec-tutkijat osoittivat, että näitä tietoja voidaan käyttää kohteen näppäilyjen rekonstruointiin vertaamalla niitä malliin heidän kirjoituskäyttäytymisestään.
Onneksi NetCAT: n hyväksikäyttö ei ole triviaalia toteuttaa ja edellyttää, että hyökkääjä on kytketty suoraan palvelimeen. Intel itse karakterisoi haavoittuvuus, koska se ei ole erityisen vakava, ja toteaa, että
Aiemmin julkaistujen parhaiden käytäntöjen käyttäminen sivukanavan resistanssissa ohjelmistosovelluksissa ja salaustoteutuksissa, mukaan lukien vakioaikaisen tyylikoodin käyttö, voi vähentää tässä tutkimuksessa kuvattuja hyväksikäyttöjä.
Jos haluat mennä suoraan lähteeseen, tutustu VUSeciin valkoinen paperi hyökkäyksessä.
Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain keskustelulinkkiä tämän sivun oikeassa alakulmassa.
