SSL.com の 2019 年 XNUMX 月版へようこそ セキュリティ総まとめ、SSL /の分野における重要な開発に焦点を当てた月末のダイジェストTLS、デジタル証明書、およびデジタル セキュリティ全般。
今日は最近のことを取り上げます CA/B フォーラムの投票用紙 SSL/を削減することを目的としていますTLS 証明書の有効期間、 HTTPSを介したDNS Firefox と Chrome の Cloudflare の新しい機能 WARP サービスと新たに発見されたもの サイドチャネル 脆弱な Intel チップセットを搭載したサーバーを悪用する攻撃。
CA/Bフォーラム投票SC22は不合格
CA/B フォーラム投票 SC22、SSLの最大有効期間を短縮する提案/TLS フォーラムの証明書の有効期限は 825 日から XNUMX 年まで ベースライン要件, 合格できませんでした この法案はブラウザーによって全会一致で支持されましたが、賛成票を投じたのは CA のわずか 9% であり、投票の可決に必要な 35% には遠く及ばませんでした。
Ballot SC22 の支持者は、証明書の有効期間が短いことによる潜在的なメリットとして次のようなものを挙げています。
- ベースライン要件およびブラウザ/OS ルート証明書プログラムへの変更のより迅速な実装。
- 秘密キーの侵害、証明書の失効、証明書の不適切な発行によるリスクが軽減されます。
- 証明書の自動交換を奨励し、証明書の有効期間を追跡するためのエラーが発生しやすいアプローチ (スプレッドシートなど) を抑制します。
反対者(大多数の CA を含む)は、証明書の有効期間が短いほど安全であるという原則に同意することもあり、これが業界が向かう方向であることを受け入れながらも、次のように主張しました。
- 投票の支持者らは、現在の証明書の有効期限がもたらす脅威を特定するのに十分なデータを提示していなかった。
- CA の顧客の多く、特に現在自動化を導入する準備ができていない顧客はこの措置に強く反対しました。
SSL.com 投票用紙に賛成票を投じ、次のように述べた。
現在進行中の議論と提出された説得力のある議論を考慮すると、他の CA がなぜ反対票を投じるか棄権することを選択するのかを私たちは十分に理解しています。 ただし、CA として即応性と機敏性を保つための継続的な取り組みの一環として、投票の結果に関係なく、これが私たちが目指している方向です。
SSL ストアの Patrick Nohe 氏は、 もっと時間がかかる SC22 とさまざまなスタンスについて説明します。
Firefox および Chrome の DNS over HTTPS (DoH)
Mozilla と Google はいずれも XNUMX 月に実装について発表しました。 DNS over HTTPS(DoH) Firefox と Chrome の場合:
- Chrome: クロムのブログ 発表の 10 年 2019 月 78 日、Chrome XNUMX には DoH を使用する実験が含まれる予定ですが、これはユーザーの既存の DNS プロバイダーが、ブラウザーに含まれる選択された DoH 互換プロバイダーのリストに含まれている場合に限ります。
- Firefox: モジラ 発表の 6 年 2019 月 XNUMX 日、米国で XNUMX 月下旬に Firefox ブラウザのデフォルト設定として DoH を展開すると発表しました。 Google の実装とは異なり、Firefox はデフォルトで Cloudflare の DoH サーバーを使用します (ただし、ユーザーは別のプロバイダーを手動で指定できます)。
英国の読者は次のことに注意してください。インターネットの悪役” Firefox は、 デフォルトで DoH を有効にする 英国人にとっても近いうちに。 ただし、非常に簡単です enable, したがって、DNS クエリを心ゆくまで暗号化することを妨げないでください。
そしてCloudflareといえば…
CloudFlare 発表の 25 月 XNUMX 日に、 WARP および ワーププラス (または WARP + どこで読むかによって異なります)そのサービスを通じて一般大衆にサービスを提供します1.1.1.1 モバイル アプリ。暗号化された DNS をモバイル ユーザーに提供するアプリの現在の機能を拡張します。
Cloudflare の以前の (そして騙されていない) 1 月 XNUMX 日の記事に記載されているとおり 発表, WARP は、を中心に構築された VPN です。 ワイヤーガード モバイルデバイスとCloudflareのネットワークエッジ間のネットワークトラフィックを暗号化するプロトコル。 基本的な WARP サービスは、「帯域幅の上限や制限なし」で無料で提供されます。 WARP Plusは月額4.99ドルのプレミアムサービスで、CloudflareのArgoネットワーク経由でより高速なパフォーマンスを提供します。
Cloudflareは現在、WARPの待機リストに登録されている約10万人に2GBの無料WARP Plusと、友人の紹介に1GBのサービスを提供している。
サーバーでキーストロークが漏洩していませんか?
登録 セキュリティ研究グループのセキュリティ研究者が報告 VUSecアムステルダム自由大学の、 サイドチャネル攻撃、「NetCATこれにより、適切に接続された盗聴者は、インテルのデータ ダイレクト I/O (DDIO) テクノロジー (つまり、2012 年以降に発行されたすべてのサーバー グレードの Xeon プロセッサ)。 VUSec の研究者は、これらのデータをターゲットのタイピング動作のモデルと比較することで、ターゲットのキーストロークを再構築するために使用できることを実証しました。
ありがたいことに、NetCAT エクスプロイトの実装は簡単ではなく、攻撃者がサーバーに直接接続する必要があります。 インテル自体 特徴付ける 脆弱性は特に深刻ではないと述べ、
定数時間スタイルのコードの使用など、ソフトウェア アプリケーションおよび暗号化実装におけるサイド チャネル耐性に関する以前に公開されたベスト プラクティスを採用すると、この調査で説明されている悪用を軽減できます。
ソースに直接アクセスしたい場合は、VUSec をチェックしてください。 ホワイトペーパー 攻撃に。
SSL.comをご利用いただきありがとうございます。 ご不明な点がございましたら、メールでお問い合わせください。 Support@SSL.com電話する 1-877-SSL-SECURE、またはこのページの右下にあるチャットリンクをクリックしてください。
