Welkom bij de editie van september 2019 van SSL.com's Beveiligingsoverzicht, een einde-maandoverzicht waarin we belangrijke ontwikkelingen op het gebied van SSL /TLS, digitale certificaten en digitale beveiliging in het algemeen.
Vandaag behandelen we een recente CA / B Forum stemming gericht op het verminderen van SSL /TLS certificaatlevens, DNS via HTTPS in Firefox en Chrome, Cloudflare is nieuw WARP service en een nieuw ontdekte zijkanaal aanval die servers exploiteert die worden aangedreven door kwetsbare Intel-chipsets.
CA / B Forum Ballot SC22 mislukt
CA / B Forum Stembiljet SC22, een voorstel om de maximale geldigheidsduur van SSL /TLS certificaten van 825 dagen tot een jaar in de forums Basisvereisten, niet geslaagd nadat de stemming op 9 september was beëindigd. De maatregel werd unaniem door de browsers ondersteund, maar slechts 35% van de BA's stemde JA, wat ver verwijderd is van de 66% die nodig is om de stemming te laten slagen.
De donateurs van Ballot SC22 noemden deze potentiële voordelen van certificaten met een kortere levensduur:
- Snellere implementatie van wijzigingen in de basisvereisten en browser / OS-basiscertificaatprogramma's.
- Verminderd risico van aangetaste privésleutels, ingetrokken certificaten en onjuist uitgegeven certificaten.
- Aanmoediging van geautomatiseerde certificaatvervanging en ontmoediging van foutgevoelige benaderingen voor het volgen van certificaatlevensduur (zoals spreadsheets).
Detractors (inclusief de meerderheid van CA's), hoewel ze het er in principe soms mee eens waren dat kortere certificaatlevensduur veiliger zijn en accepteerden dat dit de richting is die de industrie opgaat, maar hield vol dat
- De aanhangers van het stembiljet hadden niet voldoende gegevens gepresenteerd om de dreiging van de huidige levensduur van certificaten te specificeren.
- Veel klanten van de BA's waren fel gekant tegen de maatregel, vooral degenen die op dit moment niet bereid waren automatisering door te voeren.
SSL.com stemde JA op de stemming en verklaarde dat:
Gezien het voortdurende debat en de overtuigende argumenten die worden gepresenteerd, begrijpen we volledig waarom andere BA's ervoor kiezen om NEEN te stemmen of zich te onthouden. Als onderdeel van onze voortdurende inspanningen om responsief en wendbaar te zijn als CA, is dit de richting die we opgaan, ongeacht de uitkomst van de stemming.
Patrick Nohe van de SSL Store heeft een langer nemen op SC22 en de verschillende standen gepresenteerd.
DNS via HTTPS (DoH) in Firefox en Chrome
Mozilla en Google hebben in september aankondigingen gedaan over de implementatie DNS via HTTPS (DoH) in Firefox en Chrome:
- Chrome: De Chromium-blog aangekondigd op 10 september 2019 zal Chrome 78 een experiment bevatten dat DoH zal gebruiken, maar alleen als de bestaande DNS-provider van de gebruiker voorkomt op een lijst met geselecteerde DoH-compatibele providers die bij de browser zijn geleverd.
- Firefox: mozilla aangekondigd op 6 september 2019 dat ze DoH eind september zullen uitrollen als standaardinstelling voor hun Firefox-browser in de VS. In tegenstelling tot de implementatie van Google, gebruikt Firefox standaard de DoH-servers van Cloudflare (hoewel de gebruiker handmatig een andere provider kan specificeren).
Britse lezers moeten opmerken dat "internet schurk”Firefox zal niet schakel DoH standaard in voor Britten binnenkort; het is echter heel eenvoudig in staat stellen, dus laat dat u er niet van weerhouden om uw DNS-zoekopdrachten naar hartenlust te versleutelen.
En over Cloudflare gesproken ...
Cloudflare aangekondigd op 25 september dat het zijn WARP en WARPPlus (of WARP + afhankelijk van waar je het leest) diensten aan het grote publiek via haar1.1.1.1 mobiele app, waarmee de huidige functie van de app van versleutelde DNS aan mobiele gebruikers wordt uitgebreid.
Zoals beschreven in Cloudflare's eerdere (en niet voor de gek houden) 1 april aankondiging, WARP is een VPN, gebouwd rond de Wireguard protocol, dat netwerkverkeer tussen mobiele apparaten en de rand van Cloudflare's netwerk versleutelt. De basis WARP-service wordt gratis aangeboden, "zonder bandbreedtebeperkingen of beperkingen." WARP Plus is een premiumservice, geprijsd op $ 4.99 per maand, die snellere prestaties biedt via Cloudflare's Argo-netwerk.
Cloudflare biedt momenteel 10 GB gratis WARP Plus aan de ongeveer 2 miljoen mensen op de WARP-wachtlijst en 1 GB aan service voor het doorverwijzen van een vriend.
Lekt uw server toetsaanslagen?
Het register meldt beveiligingsonderzoekers bij de veiligheidsonderzoeksgroep VUSec, van de Vrije Universiteit Amsterdam, hebben een side-channel aanval, genaamd "NetCAT, ”Waarmee een goed verbonden afluisteraar de timing kan observeren tussen gegevenspakketten die naar servers worden verzonden met behulp van Intel's Data Direct I / O (DIO) technologie (dwz alle Xeon-processors van serverkwaliteit die sinds 2012 zijn uitgegeven). VUSec-onderzoekers hebben aangetoond dat deze gegevens kunnen worden gebruikt om de toetsaanslagen van een doelwit te reconstrueren door ze te vergelijken met een model van hun typegedrag.
Gelukkig is de NetCAT-exploit niet-triviaal om te implementeren en vereist het dat de aanvaller rechtstreeks is verbonden met de server. Intel zelf kenmerkt de kwetsbaarheid als niet bijzonder ernstig, met vermelding van dat
Het gebruik van eerder gepubliceerde best practices voor side channel-resistentie in softwareapplicaties en cryptografische implementaties, inclusief het gebruik van constante-tijdstijlcode, kan de exploits die in dit onderzoek worden beschreven, verminderen.
Als je rechtstreeks naar de bron wilt gaan, bekijk dan VUSec's wit papier over de aanval.
Bedankt voor het kiezen van SSL.com! Als u vragen heeft, neem dan contact met ons op via e-mail op Support@SSL.com, bel 1-877-SSL-SECURE, of klik gewoon op de chatlink rechts onderaan deze pagina.