Velkommen til september 2019-utgaven av SSL.com Sikkerhet Roundup, en sammendrag på slutten av måneden der vi fremhever viktige utviklinger innen SSL /TLS, digitale sertifikater og digital sikkerhet generelt.
I dag skal vi dekke en nylig CA / B Forum-avstemning rettet mot å redusere SSL /TLS sertifikat levetid, DNS over HTTPS i Firefox og Chrome, er Cloudflare ny WARP service, og en nyoppdaget side-kanal angrep som utnytter servere drevet av sårbare Intel-brikkesett.
CA / B Forum Ballot SC22 mislykkes
CA / B Forum Ballot SC22, et forslag om å redusere den maksimale gyldighetsperioden på SSL /TLS sertifikater fra 825 dager til ett år i forumet Baseline Krav, klarte ikke å passere etter avstemmingen ble avsluttet 9. september. Tiltaket ble enstemmig støttet av nettleserne, men bare 35% av CA-ene stemte JA, og falt langt under 66% som kreves for at stemmeseddelen skulle passere.
Ballot SC22s støttespillere siterte disse potensielle fordelene fra sertifikater med kortere levetid:
- Raskere implementering av endringer i grunnleggende krav og nettleser / OS rotsertifikatprogrammer.
- Redusert risiko fra kompromitterte private nøkler, tilbakekalte sertifikater og feilutstedte sertifikater.
- Oppmuntring til automatisk utskifting av sertifikater og motløshet til feilutsatte tilnærminger til sporing av sertifikatets levetid (for eksempel regneark)
Detractors (inkludert flertallet av CA), mens de noen ganger i prinsippet er enige om at kortere levetid på sertifikatet er sikrere og aksepterer at dette er retningen industrien går mot, hevdet at
- Stemmeseddens tilhengere hadde ikke presentert tilstrekkelig data til å spesifisere trusselen fra dagens sertifikatlevetid.
- Mange av CA-kundene var sterkt imot tiltaket, spesielt de som foreløpig ikke var forberedt på å implementere automatisering.
SSL.com stemte JA på stemmeseddelen og sa at:
Gitt den pågående debatten og overbevisende argumenter som presenteres, forstår vi fullstendig hvorfor andre CAer velger å stemme NEI eller avstår fra. Som en del av vår pågående innsats for å være lydhøre og smidige som CA, er dette imidlertid retningen vi er på vei uavhengig av utfallet av stemmeseddelen.
SSL-butikkens Patrick Nohe har en lengre tid på SC22 og de forskjellige holdningene som presenteres.
DNS over HTTPS (DoH) i Firefox og Chrome
Mozilla og Google ga begge kunngjøringer i september om implementering DNS over HTTPS (DoH) i Firefox og Chrome:
- Chrome: Chromium-bloggen annonsert 10. september 2019 at Chrome 78 vil inkludere et eksperiment som vil bruke DoH, men bare hvis brukerens eksisterende DNS-leverandør er på en liste over utvalgte DoH-kompatible leverandører som følger med nettleseren.
- firefox: Mozilla annonsert 6. september 2019 at de vil lansere DoH som standardinnstilling for Firefox-nettleseren i USA i slutten av september. I motsetning til Googles implementering, vil Firefox bruke Cloudflares DoH-servere som standard (selv om brukeren kan spesifisere en annen leverandør manuelt).
UK-lesere bør merke seg at “internett skurk”Firefox vil ikke aktiver DoH som standard for briter snart snart; det er imidlertid veldig enkelt å gjøre muliggjøre, så ikke la det hindre deg i å kryptere DNS-spørringene dine til ditt hjerte.
Og snakker om Cloudflare ...
CloudFlare annonsert 25. september at den skal rulle ut sin WARP og WARPPluss (eller WARP + avhengig av hvor du leser det) tjenester til allmennheten via dens1.1.1.1 mobilapp, utvider appens nåværende funksjon for å tilby kryptert DNS til mobilbrukere.
Som beskrevet i Cloudflares tidligere (og ikke-lure) 1. april kunngjøring, WARP er en VPN, bygget rundt wire vakt protokoll, som krypterer nettverkstrafikk mellom mobile enheter og kanten av Cloudflares nettverk. Den grunnleggende WARP-tjenesten tilbys gratis, "uten båndbreddedeksler eller begrensninger." WARP Plus er en premium-tjeneste, priset til $ 4.99 per måned, som gir raskere ytelse via Cloudflares Argo-nettverk.
Cloudflare tilbyr for øyeblikket 10 GB gratis WARP Plus til de 2 millioner menneskene på WARP-ventelisten, og 1 GB service for henvisning til en venn.
Er det lekkertastene på serveren din?
Registeret rapporterer at sikkerhetsforskere ved sikkerhetsforskningsgruppen VUSec, av Vrije Universiteit Amsterdam, har oppdaget a sidekanalangrep, kalt “netCat, ”Som gjør det mulig for en godt tilkoblet avlytter å observere timingen mellom datapakker som sendes til servere ved hjelp av Intels Data Direct I / O (DDIO) -teknologi (dvs. alle Xeon-prosessorer av serverklasse som er utgitt siden 2012). VUSec-forskere demonstrerte at disse dataene kan brukes til å rekonstruere tastetrykkene til et mål ved å sammenligne dem med en modell for skriveoppførsel.
Heldigvis er NetCAT-utnyttelsen ikke triviell å implementere og krever at angriperen kobles direkte til serveren. Intel selv karakteriserer sårbarheten som ikke-særlig alvorlig, og sier det
Ved å benytte tidligere publiserte beste fremgangsmåter for sidekanalmotstand i programvareapplikasjoner og kryptografiske implementeringer, inkludert bruk av stilkode i konstant tid, kan det redusere utnyttelsene som er beskrevet i denne forskningen.
Hvis du vil gå rett til kilden, kan du sjekke ut VUSecs hvitt papir på angrepet.
Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk på chat-koblingen nederst til høyre på denne siden.
