Selamat datang di SSL.com edisi September 2019 Roundup Keamanan, intisari akhir bulan di mana kami menyoroti perkembangan penting di bidang SSL /TLS, sertifikat digital, dan keamanan digital secara umum.
Hari ini kami akan meliput baru-baru ini Suara CA / B Forum bertujuan untuk mengurangi SSL /TLS sertifikat seumur hidup, DNS melalui HTTPS di Firefox dan Chrome, Cloudflare baru WARP layanan, dan yang baru ditemukan saluran samping serangan yang mengeksploitasi server yang ditenagai oleh chipset Intel yang rentan.
Surat Suara Forum CA / B Gagal
Surat Suara Forum CA / B SC22, proposal untuk mengurangi periode validitas maksimum SSL /TLS sertifikat dari 825 hari hingga satu tahun di forum Persyaratan Dasar, gagal lulus setelah pemungutan suara berakhir pada tanggal 9 September. Tindakan ini dengan suara bulat didukung oleh browser, tetapi hanya 35% CA memilih YA, jauh dari 66% yang diperlukan agar surat suara dapat dilewati.
Para pendukung Ballot SC22 mengutip manfaat potensial berikut dari sertifikat yang berumur lebih pendek:
- Implementasi perubahan yang lebih cepat pada Persyaratan Dasar dan program sertifikat root browser / OS.
- Mengurangi risiko dari kunci privat yang dikompromikan, sertifikat yang dicabut, dan sertifikat yang dikeluarkan secara tidak tepat.
- Mendorong penggantian sertifikat otomatis, dan mengurangi pendekatan rawan kesalahan untuk melacak masa berlaku sertifikat (seperti spreadsheet).
Para pencela (termasuk mayoritas CA), sementara kadang-kadang setuju pada prinsipnya bahwa masa hidup sertifikat yang lebih pendek lebih aman dan menerima bahwa ini adalah arah yang dituju industri, menyatakan bahwa
- Pendukung surat suara tidak memberikan data yang cukup untuk menentukan ancaman yang ditimbulkan oleh masa berlaku sertifikat saat ini.
- Banyak pelanggan CA sangat menentang langkah tersebut, terutama mereka yang saat ini tidak siap untuk menerapkan otomatisasi.
SSL.com memilih YA pada surat suara, menyatakan bahwa:
Mengingat perdebatan yang sedang berlangsung dan argumen persuasif yang disajikan, kami sepenuhnya memahami mengapa CA lainnya memilih untuk memilih TIDAK atau abstain. Namun, sebagai bagian dari upaya berkelanjutan kami untuk menjadi responsif dan gesit sebagai CA, ini adalah arah yang kami tuju terlepas dari hasil surat suara.
Patrick Nohe dari SSL Store memiliki lebih lama pada SC22 dan sikap berbeda yang disajikan.
DNS over HTTPS (DoH) di Firefox dan Chrome
Mozilla dan Google sama-sama mengumumkan pada bulan September tentang implementasi DNS melalui HTTPS (DoH) di Firefox dan Chrome:
- Chrome: Blog Chromium mengumumkan pada 10 September 2019 bahwa Chrome 78 akan menyertakan eksperimen yang akan menggunakan DoH, tetapi hanya jika penyedia DNS milik pengguna yang ada ada dalam daftar penyedia yang kompatibel dengan DoH yang disertakan dengan browser.
- firefox: Mozilla mengumumkan pada 6 September 2019 mereka akan meluncurkan DoH sebagai pengaturan default untuk browser Firefox-nya di AS pada akhir September. Tidak seperti implementasi Google, Firefox akan menggunakan server DoH Cloudflare secara default (meskipun pengguna dapat secara manual menentukan penyedia lain).
Pembaca Inggris harus memperhatikan bahwa "penjahat internetFirefox akan melakukannya tidak aktifkan DoH secara default untuk warga Inggris dalam waktu dekat; Namun, ini sangat sederhana aktif, jadi jangan biarkan hal itu menghentikan Anda dari mengenkripsi kueri DNS Anda ke isi hati Anda.
Dan Berbicara tentang Cloudflare…
cloudflare mengumumkan pada 25 September akan diluncurkan WARP dan WARPplus (Atau WARP + tergantung di mana Anda membacanya) layanan kepada masyarakat umum melalui layanannya1.1.1.1 aplikasi seluler, memperluas fungsi aplikasi saat ini dalam menyediakan DNS terenkripsi untuk pengguna seluler.
Seperti yang dijelaskan dalam Cloudflare sebelumnya (dan tidak menipu) 1 April pengumuman, WARP adalah VPN, dibangun di sekitar Penjaga kawat protokol, yang mengenkripsi lalu lintas jaringan antara perangkat seluler dan tepi jaringan Cloudflare. Layanan WARP dasar disediakan secara gratis, "tanpa batasan atau batasan bandwidth". WARP Plus adalah layanan premium, dengan harga $ 4.99 per bulan, yang menawarkan kinerja lebih cepat melalui jaringan Argo Cloudflare.
Cloudflare saat ini menawarkan 10GB WARP Plus gratis untuk sekitar 2 juta orang di daftar tunggu WARP, dan 1GB layanan untuk merujuk teman.
Apakah Server Anda Menekan Tombol?
Pendaftaran melaporkan bahwa peneliti keamanan di grup riset keamanan VUSec, dari Vrije Universiteit Amsterdam, telah menemukan a serangan side-channel, dijuluki "NetCAT, "Yang memungkinkan penyadap yang terhubung dengan baik untuk mengamati waktu antara paket data yang dikirim ke server menggunakan Intel Data Direct I / O (DDIO) teknologi (yaitu semua prosesor Xeon tingkat server yang dikeluarkan sejak 2012). Peneliti VUSec menunjukkan bahwa data ini dapat digunakan untuk merekonstruksi penekanan tombol target dengan membandingkannya dengan model perilaku mengetik mereka.
Untungnya, eksploitasi NetCAT adalah non-sepele untuk diterapkan dan mengharuskan penyerang terhubung langsung ke server. Intel sendiri mencirikan kerentanan sebagai tidak terlalu parah, menyatakan itu
Menggunakan praktik terbaik yang diterbitkan sebelumnya untuk resistansi saluran samping dalam aplikasi perangkat lunak dan implementasi kriptografi, termasuk menggunakan kode gaya waktu-konstan, dapat mengurangi eksploitasi yang dijelaskan dalam penelitian ini.
Jika Anda ingin langsung membuka sumbernya, lihat VUSec's laporan resmi pada serangan itu.
Terima kasih telah memilih SSL.com! Jika Anda memiliki pertanyaan, silakan hubungi kami melalui email di Support@SSL.com, panggil 1-877-SSL-SECURE, atau cukup klik tautan obrolan di kanan bawah halaman ini.
