SSL.com의 2019 년 XNUMX 월 에디션에 오신 것을 환영합니다. 보안 정리, SSL / 분야의 중요한 발전을 강조하는 월말 요약TLS, 디지털 인증서 및 일반 디지털 보안.
오늘 우리는 최근 CA / B 포럼 투표 SSL / 감소를 목표로TLS 인증서 수명, HTTPS를 통한 DNS Firefox 및 Chrome에서 Cloudflare의 새로운 WARP 서비스 및 새로 발견 된 사이드 채널 취약한 인텔 칩셋으로 구동되는 서버를 이용하는 공격.
CA / B 포럼 투표 SC22 실패
CA / B 포럼 투표 SC22, SSL /의 최대 유효 기간을 줄이기위한 제안TLS 포럼에서 825 일에서 XNUMX 년까지 인증서 기준 요구 사항, 통과하지 못했습니다 투표는 9 월 35 일에 끝났다.이 법안은 만장일치로 브라우저에서지지를 받았지만, 투표권 통과에 필요한 66 %보다 훨씬 낮은 XNUMX %의 CA만이 찬성 투표했다.
투표 용지 SC22의 후원자들은 수명이 짧은 인증서의 잠재적 인 이점을 다음과 같이 언급했습니다.
- 기준 요구 사항 및 브라우저 / OS 루트 인증서 프로그램에 대한 변경 사항을 더 빠르게 구현
- 개인 키 손상, 인증서 해지 및 잘못 발급 된 인증서로 인한 위험 감소
- 자동 인증서 교체 장려 및 인증서 수명 추적 (예 : 스프레드 시트)에 대한 오류가 발생하기 쉬운 접근 방법을 권장하지 않습니다.
인증 기관 (대부분의 CA 포함)은 원칙적으로 인증서 수명이 짧을수록 더 안전하다는 데 동의하고 이것이 업계가 지향하는 방향임을 인정하면서도
- 투표의 지지자들은 현재 인증서 수명으로 인한 위협을 명시하기에 충분한 데이터를 제시하지 않았습니다.
- 많은 CA 고객, 특히 현재 자동화를 구현할 준비가되어 있지 않은 고객은이 조치에 강하게 반대했습니다.
SSL.com 투표 용지에서 찬성 투표 :
진행중인 토론과 설득력있는 주장이 제시되면, 우리는 왜 다른 CA가 NO 투표를 거부하거나 기권하기로 선택했는지 완전히 이해합니다. 그러나, CA로서 신속하고 민첩성을 유지하기위한 지속적인 노력의 일환으로, 이것은 투표 결과와 상관없이 우리가 향하고있는 방향입니다.
SSL Store의 Patrick Nohe는 더 이상 SC22와 다른 자세를 보여줍니다.
Firefox 및 Chrome에서 HTTPS를 통한 DNS (DoH)
모질라와 구글은 XNUMX 월에 구현에 대해 발표했다. HTTPS를 통한 DNS (DoH) Firefox 및 Chrome에서 :
- 크롬: Chromium 블로그 발표 10 년 2019 월 78 일 Chrome XNUMX에는 DoH를 사용하는 실험이 포함될 예정이지만 사용자의 기존 DNS 공급자가 브라우저에 포함 된 선택된 DoH 호환 공급자 목록에있는 경우에만 해당됩니다.
- 파이어 폭스 : 모질라 발표 6 년 2019 월 XNUMX 일부터 XNUMX 월 말 미국에서 Firefox 브라우저의 기본 설정으로 DoH를 출시 할 예정입니다. Google의 구현과 달리 Firefox는 기본적으로 Cloudflare의 DoH 서버를 사용합니다 (사용자는 다른 공급자를 수동으로 지정할 수 있음).
영국 독자들은“인터넷 악당”Firefox는 지원 기본적으로 DoH 사용 곧 영국인을 위해; 그러나, 그것은 매우 간단합니다 가능, 따라서 DNS 쿼리를 마음의 내용으로 암호화하는 것을 중단하지 마십시오.
그리고 Cloudflare에 대해 말하면…
Cloudflare 발표 25 월 XNUMX 일에 출시 될 예정입니다 WARP 과 워프 플러스 (또는 WARP + 당신이 그것을 읽는 곳에 따라)1.1.1.1 모바일 앱은 암호화 된 DNS를 모바일 사용자에게 제공하는 앱의 현재 기능을 확장합니다.
Cloudflare의 이전 (그리고 속이지 않는) 1 월 XNUMX 일에 설명 된대로 발표, WARP는 VPN을 중심으로 구축되었습니다. 와이어 가드 프로토콜은 모바일 장치와 Cloudflare 네트워크 에지 간의 네트워크 트래픽을 암호화합니다. 기본 WARP 서비스는 "대역폭 제한 또는 제한없이"무료로 제공됩니다. WARP Plus는 월 $ 4.99에 가격이 책정되는 프리미엄 서비스로, Cloudflare의 Argo 네트워크를 통해 더 빠른 성능을 제공합니다.
Cloudflare는 현재 WARP 대기자 명단에있는 약 10 백만 명의 사람들에게 2GB의 무료 WARP Plus와 친구를 추천하기위한 1GB의 서비스를 제공하고 있습니다.
서버에서 키 입력이 발생합니까?
등록 보안 연구 그룹의 보안 연구원이 VUSecVrije Universiteit Amsterdam에서 사이드 채널 공격'넷캣,”이를 통해 잘 연결된 도청자가 Intel의 Data Direct I / O (디디오) 기술 (즉, 2012 년 이후 출시 된 모든 서버급 Xeon 프로세서). VUSec 연구진은 이러한 데이터를 입력 동작 모델과 비교하여 대상의 키 입력을 재구성하는 데 사용할 수 있음을 보여주었습니다.
고맙게도 NetCAT 익스플로잇은 구현이 쉽지 않으며 공격자가 서버에 직접 연결되어 있어야합니다. 인텔 자체 특징 짓다 특히 심각하지 않은 취약점으로
일정 시간 스타일 코드 사용을 포함하여 소프트웨어 응용 프로그램 및 암호화 구현에서 부 채널 저항에 대해 이전에 게시 된 모범 사례를 사용하면이 연구에서 설명한 공격을 완화 할 수 있습니다.
소스로 바로 이동하려면 VUSec의 백지 공격에.
SSL.com을 선택해 주셔서 감사합니다! 문의 사항이 있으시면 이메일로 연락주십시오. Support@SSL.com, 전화 1-877-SSL-SECURE페이지 오른쪽 하단에있는 채팅 링크를 클릭하십시오.
