Bienvenue dans l'édition de septembre 2019 de SSL.com Résumé de la sécurité, un condensé de fin de mois où nous soulignons les développements importants dans le domaine du SSLTLS, les certificats numériques et la sécurité numérique en général.
Aujourd'hui, nous allons couvrir une récente Bulletin de vote CA / B Forum visant à réduire SSL /TLS durée de vie des certificats, DNS sur HTTPS dans Firefox et Chrome, le nouveau WARP service, et un nouveau canal latéral attaque qui exploite des serveurs alimentés par des chipsets Intel vulnérables.
Échec du scrutin du forum CA / B SC22
Bulletin de vote CA / B Forum SC22, une proposition de réduction de la période de validité maximale de SSL /TLS certificats de 825 jours à un an dans le forum Exigences de base, échoué à passer après le vote s'est terminé le 9 septembre. La mesure a été unanimement soutenue par les navigateurs, mais seulement 35% des CA ont voté OUI, ce qui est loin des 66% requis pour que le scrutin passe.
Les partisans de Ballot SC22 ont cité ces avantages potentiels des certificats à durée de vie plus courte:
- Mise en œuvre plus rapide des modifications apportées aux exigences de base et aux programmes de certificats racine du navigateur / système d'exploitation.
- Risque réduit de clés privées compromises, de certificats révoqués et de certificats émis de manière incorrecte.
- Encouragement du remplacement automatisé des certificats et découragement des approches sujettes aux erreurs de suivi des durées de vie des certificats (telles que les feuilles de calcul).
Les détracteurs (y compris la majorité des autorités de certification), tout en convenant parfois en principe que les durées de vie des certificats plus courtes sont plus sûres et acceptant que c'est la direction dans laquelle l'industrie se dirige, ont soutenu que
- Les partisans du scrutin n'avaient pas présenté suffisamment de données pour préciser la menace posée par la durée de vie actuelle des certificats.
- De nombreux clients des AC étaient fermement opposés à la mesure, en particulier ceux qui n'étaient pas actuellement prêts à mettre en œuvre l'automatisation.
SSL.com voté OUI sur le bulletin de vote, déclarant que:
Compte tenu du débat en cours et des arguments convaincants présentés, nous comprenons parfaitement pourquoi d'autres AC choisissent de voter NON ou de s'abstenir. Cependant, dans le cadre de nos efforts continus pour être réactif et agile en tant qu'AC, c'est la direction que nous prenons, quel que soit le résultat du scrutin.
Patrick Nohe du SSL Store a un prendre plus sur SC22 et les différentes positions présentées.
DNS sur HTTPS (DoH) dans Firefox et Chrome
Mozilla et Google ont tous deux annoncé en septembre la mise en œuvre DNS sur HTTPS (DoH) dans Firefox et Chrome:
- Chrome: Le blog Chromium annoncé le 10 septembre 2019, Chrome 78 inclura une expérience qui utilisera DoH, mais uniquement si le fournisseur DNS existant de l'utilisateur figure sur une liste de fournisseurs compatibles DoH sélectionnés inclus avec le navigateur.
- Firefox: Mozilla annoncé le 6 septembre 2019 qu'ils déploieront DoH comme paramètre par défaut pour son navigateur Firefox aux États-Unis fin septembre. Contrairement à l'implémentation de Google, Firefox utilisera les serveurs DoH de Cloudflare par défaut (bien que l'utilisateur puisse spécifier manuellement un autre fournisseur).
Les lecteurs britanniques doivent noter que "méchant internet"Firefox va ne sauraient activer DoH par défaut pour les Britanniques de sitôt; cependant, il est très simple de permettre, alors ne laissez pas cela vous empêcher de crypter vos requêtes DNS à votre guise.
Et en parlant de Cloudflare…
Cloudflare annoncé le 25 septembre qu'il déploiera son WARP et WARPPlus (ou WARP + selon l'endroit où vous le lisez) services au grand public via son1.1.1.1 application mobile, étendant la fonction actuelle de l'application de fournir un DNS crypté aux utilisateurs mobiles.
Comme décrit dans Cloudflare le 1er avril (et non trompeur) annonce, WARP est un VPN, construit autour du Wireguard protocole, qui crypte le trafic réseau entre les appareils mobiles et la périphérie du réseau de Cloudflare. Le service WARP de base est fourni gratuitement, «sans limite ni limite de bande passante». WARP Plus est un service premium, au prix de 4.99 $ par mois, qui offre des performances plus rapides via le réseau Argo de Cloudflare.
Cloudflare offre actuellement 10 Go de WARP Plus gratuit aux quelque 2 millions de personnes sur la liste d'attente WARP, et 1 Go de service pour parrainer un ami.
Votre serveur présente-t-il des fuites de touches?
Le registre rapporte que les chercheurs en sécurité du groupe de recherche sur la sécurité VUSec, de la Vrije Universiteit Amsterdam, ont découvert un attaque par canal latéral, surnommé "NetCAT», Qui permet à un espion bien connecté d'observer le temps entre les paquets de données envoyés aux serveurs à l'aide d'Intel Data Direct I / O (DDIO) (c'est-à-dire tous les processeurs Xeon de qualité serveur émis depuis 2012). Les chercheurs de VUSec ont démontré que ces données peuvent être utilisées pour reconstruire les frappes d'une cible en les comparant à un modèle de leur comportement de frappe.
Heureusement, l'exploit NetCAT n'est pas trivial à implémenter et nécessite que l'attaquant soit directement connecté au serveur. Intel lui-même caractérise la vulnérabilité comme pas particulièrement grave, indiquant que
L'utilisation des meilleures pratiques publiées précédemment pour la résistance des canaux secondaires dans les applications logicielles et les implémentations cryptographiques, y compris l'utilisation de code de style à temps constant, peut atténuer les exploits décrits dans cette recherche.
Si vous souhaitez accéder directement à la source, consultez VUSec's papier blanc sur l'attaque.
Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.