Benvenuto nell'edizione di settembre 2019 di SSL.com Riassunto della sicurezza, una sintesi di fine mese in cui evidenziamo importanti sviluppi nel campo di SSL /TLS, certificati digitali e sicurezza digitale in generale.
Oggi parleremo di un recente Voto del forum CA / B volto a ridurre SSL /TLS durata del certificato, DNS su HTTPS in Firefox e Chrome, la novità di Cloudflare WARP servizio e un nuovo scoperto canale laterale attacco che sfrutta server basati su chipset Intel vulnerabili.
CA / B Forum Ballot SC22 non riesce
Scheda elettorale CA / B Forum SC22, una proposta per ridurre il periodo massimo di validità di SSL /TLS certificati da 825 giorni a un anno nei forum Requisiti di base, non è riuscito a passare dopo che le votazioni si sono concluse il 9 settembre. La misura è stata sostenuta all'unanimità dai browser, ma solo il 35% delle autorità competenti ha votato SÌ, scendendo molto al di sotto del 66% richiesto per il voto.
I sostenitori di Ballot SC22 hanno citato questi potenziali vantaggi da certificati di breve durata:
- Implementazione più rapida delle modifiche ai Requisiti di base e ai programmi di certificati root del browser / OS.
- Rischio ridotto da chiavi private compromesse, certificati revocati e certificati emessi in modo errato.
- Incoraggiamento della sostituzione automatica dei certificati e scoraggiamento di approcci soggetti a errori nel tenere traccia della durata dei certificati (come i fogli di calcolo).
I detrattori (compresa la maggior parte delle autorità di certificazione), pur concordando a volte in linea di principio che le durate più brevi dei certificati sono più sicure e accettando che questa è la direzione verso cui l'industria è diretta, ha affermato che
- I sostenitori del ballottaggio non avevano presentato dati sufficienti per specificare la minaccia rappresentata dall'attuale durata dei certificati.
- Molti dei clienti delle CA erano fortemente contrari alla misura, soprattutto quelli che al momento non erano preparati a implementare l'automazione.
SSL.com ha votato SÌ al voto, affermando che:
Dato il dibattito in corso e gli argomenti persuasivi presentati, comprendiamo appieno il motivo per cui altre AC scelgono di votare NO o di astenersi. Tuttavia, nell'ambito dei nostri continui sforzi per essere reattivi e agili come autorità di certificazione, questa è la direzione in cui ci stiamo dirigendo indipendentemente dall'esito della votazione.
Patrick Nohe di SSL Store ha un file prendere più tempo su SC22 e le diverse posizioni presentate.
DNS over HTTPS (DoH) in Firefox e Chrome
Mozilla e Google hanno entrambi annunciato a settembre l'implementazione DNS su HTTPS (DoH) in Firefox e Chrome:
- Cromo: Il blog di Chromium ha annunciato il 10 settembre 2019 Chrome 78 includerà un esperimento che utilizzerà DoH, ma solo se il provider DNS esistente dell'utente si trova in un elenco di provider compatibili con DoH selezionati inclusi nel browser.
- Firefox: Mozilla ha annunciato il 6 settembre 2019 lanceranno DoH come impostazione predefinita per il suo browser Firefox negli Stati Uniti alla fine di settembre. A differenza dell'implementazione di Google, Firefox utilizzerà i server DoH di Cloudflare per impostazione predefinita (sebbene l'utente possa specificare manualmente un altro provider).
I lettori del Regno Unito dovrebbero notare che "cattivo di Internet"Firefox lo farà non abilitare DoH per impostazione predefinita per i britannici in qualunque momento presto; tuttavia, è molto semplice enable, quindi non lasciare che questo ti impedisca di crittografare le tue query DNS a tuo piacimento.
E a proposito di Cloudflare ...
Cloudflare ha annunciato il 25 settembre che verrà lanciato il suo WARP ed ORDITO Plus (o WARP + a seconda di dove lo leggi) servizi al pubblico tramite i suoi1.1.1.1 app mobile, estendendo l'attuale funzione dell'app di fornire DNS crittografato agli utenti mobili.
Come descritto nel precedente (e non ingannevole) 1 aprile di Cloudflare annuncio, WARP è una VPN, costruita attorno al Gabbia di protezione protocollo, che crittografa il traffico di rete tra i dispositivi mobili e il perimetro della rete di Cloudflare. Il servizio WARP di base è fornito gratuitamente, "senza limiti o limiti di larghezza di banda". WARP Plus è un servizio premium, al prezzo di $ 4.99 al mese, che offre prestazioni più veloci tramite la rete Argo di Cloudflare.
Cloudflare offre attualmente 10 GB di WARP Plus gratuiti a circa 2 milioni di persone nella lista d'attesa di WARP e 1 GB di servizio per la segnalazione di un amico.
Il tuo server perde i tasti?
Il registro riferisce che i ricercatori della sicurezza del gruppo di ricerca sulla sicurezza VUSSec, di Vrije Universiteit Amsterdam, hanno scoperto a attacco canale laterale, soprannominato "netcat, "Che consente a un intercettatore ben connesso di osservare il tempo tra i pacchetti di dati inviati ai server utilizzando Data Direct I / O (DDI) (ovvero tutti i processori Xeon di livello server rilasciati dal 2012). I ricercatori di VUSec hanno dimostrato che questi dati possono essere utilizzati per ricostruire le sequenze di tasti di un obiettivo confrontandole con un modello del loro comportamento di digitazione.
Per fortuna, l'exploit NetCAT non è banale da implementare e richiede che l'attaccante sia direttamente collegato al server. Intel stessa caratterizza la vulnerabilità non particolarmente grave, affermando che
L'utilizzo delle migliori pratiche pubblicate in precedenza per la resistenza del canale laterale nelle applicazioni software e nelle implementazioni crittografiche, incluso l'utilizzo di codice di stile a tempo costante, può mitigare gli exploit descritti in questa ricerca.
Se desideri andare direttamente alla fonte, dai un'occhiata a VUSec white paper sull'attacco.
Grazie per aver scelto SSL.com! In caso di domande, contattaci tramite e-mail all'indirizzo Support@SSL.com, chiama 1-877-SSL-SECUREo fai semplicemente clic sul link della chat in basso a destra in questa pagina.