Üdvözöljük az SSL.com 2019 szeptemberi kiadásában Biztonsági Roundup, a hónap végi összefoglaló, ahol fontos fejleményeket emelünk ki az SSL /TLS, digitális tanúsítványok és általában a digitális biztonság.
Ma egy közelmúltról fogunk beszámolni CA / B fórum szavazása amelynek célja az SSL /TLS tanúsítvány élettartama, DNS HTTPS-en keresztül a Firefoxban és a Chrome-ban a Cloudflare újdonsága WARP szolgáltatás és egy újonnan felfedezett oldalcsatornás támadás, amely kiszolgálja a kiszolgáltatott Intel lapkakészleteket.
A CA / B fórum szavazása SC22 sikertelen
CA / B fórum, SC22javaslatot az SSL /TLS tanúsítványok 825 naptól egy évig a fórumban Alapvető követelmények, nem sikerült átadni A szeptember 9-i szavazás után az intézkedést a böngészők egyhangúlag támogatták, ám a CA-k csak 35% -a szavazott IGEN-re, ami messze elmaradt a szavazáshoz szükséges 66% -ról.
Az SC22 szavazólap támogatói megemlítették a rövidebb idejű igazolások lehetséges előnyeit:
- Az alapkövetelmények és a böngésző / operációs rendszer gyökér tanúsító programjainak változásainak gyorsabb végrehajtása.
- Csökkent kockázat a sérült magánkulcsok, visszavont tanúsítványok és a nem megfelelően kiadott tanúsítványok miatt.
- A tanúsítványok automatikus cseréjének ösztönzése és a tanúsítványok élettartamának (például táblázatok) nyomon követésére szolgáló, hajlamos a hibákra való hajlandóság elhárítása.
A desztrátorok (ideértve a CA-k többségét is), bár néha elviekben egyetértenek abban, hogy a rövidebb tanúsítási időtartam biztonságosabb, és elfogadják, hogy ezt az irányt irányítják az iparág, fenntartotta, hogy
- A szavazás támogatói nem mutattak be elegendő adatot a bizonyítvány jelenlegi élettartamának jelentette fenyegetés meghatározásához.
- Az illetékes hatóságok sok ügyfele határozottan ellenezte az intézkedést, különösen azok, akik jelenleg nem voltak felkészülve az automatizálás megvalósítására.
SSL.com IGEN szavazott a szavazólapon, kijelentve, hogy:
Tekintettel a folyamatban lévő vitára és a bemutatott meggyőző érvekre, teljes mértékben megértjük, hogy más CA-k miért választanak NEM vagy tartózkodnak. Ugyanakkor annak a folyamatos erőfeszítésünknek a részeként, hogy CA-ként reagáló és agilis tudjunk lenni, erre az irányra haladunk, függetlenül a szavazás eredményétől.
Az SSL áruház Patrick Nohe a hosszabb ideig tart az SC22-en és a bemutatott különféle álláspontokon.
DNS HTTPS (DoH) segítségével a Firefoxban és a Chrome-ban
A Mozilla és a Google szeptemberben bejelentett bejelentést a megvalósításról DNS HTTPS-n keresztül (DoH) Firefoxban és Chrome-ban:
- Króm: A Chromium Blog bejelentés 10. szeptember 2019-én a Chrome 78 tartalmaz egy kísérletet, amely DoH-t fog használni, de csak akkor, ha a felhasználó meglévő DNS-szolgáltatója szerepel a böngészőhöz tartozó kiválasztott DoH-kompatibilis szolgáltatók listáján.
- Firefox: Mozilla bejelentés 6. szeptember 2019-án szeptember végén bevezetik a DoH-t alapértelmezett beállításként az USA-ban lévő Firefox böngésző számára. A Google megvalósításával ellentétben a Firefox alapértelmezés szerint a Cloudflare DoH szervereit fogja használni (bár a felhasználó manuálisan megadhat egy másik szolgáltatót).
Az Egyesült Királyság olvasóinak figyelembe kell venniük, hogyinternetes gazember”A Firefox fog nem alapértelmezés szerint engedélyezze a DoH-t a britek számára hamarosan; ez azonban nagyon egyszerű lehetővé, ezért ne hagyja, hogy ez megakadályozza abban, hogy a DNS-lekérdezéseket a szíve szerint titkosítsa.
És ha már a Cloudflare-ről beszélünk ...
CloudFlare bejelentés szeptember 25-én, hogy bevezetni fogja WARP és a WARPPlus (Vagy WARP + attól függően, hogy hol olvasod) a lakossági szolgáltatások révén1.1.1.1 mobilalkalmazás, kibővítve az alkalmazás jelenlegi funkcióját, amely titkosított DNS-t biztosít a mobil felhasználók számára.
Ahogy a Cloudflare korábbi (és nem bolond) április 1-jén leírta közlemény, A WARP egy VPN, a Banki Guard protokoll, amely titkosítja a mobil forgalom és a Cloudflare hálózat széle közötti hálózati forgalmat. Az alap WARP szolgáltatást ingyenesen nyújtják, „sávszélesség-korlátok és korlátozások nélkül”. A WARP Plus egy prémium szolgáltatás, amelynek ára havi 4.99 dollár, és amely gyorsabb teljesítményt kínál a Cloudflare Argo hálózatán keresztül.
A Cloudflare jelenleg 10 GB ingyenes WARP Plus szolgáltatást kínál a WARP várólistán szereplő mintegy 2 millió ember számára, és 1 GB szolgáltatást kínál egy barátjának hivatkozására.
A kiszolgáló szivárog-e a billentyűleütések?
A regisztráció jelentése szerint a biztonsági kutatók a biztonsági kutatócsoportban VUSec, a Vrije Universiteit Amszterdam felfedezte a oldalcsatornás támadás, szinkronizált "netcat, Amely lehetővé teszi a jól összekapcsolt lehallgató számára az Intel Data Direct I / O használatával a szerverekre küldött adatcsomagok közötti időzítést.DDIO) technológia (vagyis az összes szerver szintű Xeon processzor, amelyet 2012 óta adtak ki). A VUSec kutatói bebizonyították, hogy ezek az adatok felhasználhatók a célpont billentyűleütéseinek rekonstrukciójára, összehasonlítva őket gépelési viselkedésük modelljével.
Szerencsére a NetCAT exploit nem triviálisan valósítható meg, és megköveteli, hogy a támadó közvetlenül kapcsolódjon a szerverhez. Magát az Intel-t jellemzését a sebezhetőség mint nem különösen súlyos, ezt kijelentve
A szoftvercsatornákban és a kriptográfiai megvalósításokban korábban közzétett bevált gyakorlatok alkalmazása az oldalsó csatorna ellenállására, beleértve az állandó idejű stíluskód használatát is, enyhítheti a kutatásban leírt kihasználásokat.
Ha egyenesen a forráshoz szeretne menni, nézze meg a VUSec oldalait fehér papír a támadásra.
Köszönjük, hogy az SSL.com-t választotta! Ha bármilyen kérdése van, kérjük lépjen kapcsolatba velünk e-mailben a címen Support@SSL.com, hívás 1-877-SSL-SECURE, vagy kattintson az oldal jobb alsó sarkában található csevegési linkre.
