Witamy w wydaniu SSL.com z września 2019 r Podsumowanie bezpieczeństwa, podsumowanie na koniec miesiąca, w którym podkreślamy ważne zmiany w dziedzinie SSL /TLS, certyfikaty cyfrowe i ogólnie bezpieczeństwo cyfrowe.
Dzisiaj zajmiemy się ostatnim Głosowanie na forum CA / B mające na celu ograniczenie SSL /TLS okresy ważności certyfikatów, DNS przez HTTPS w Firefox i Chrome, nowy Cloudflare WARP usługa i nowo odkryta kanał boczny atak wykorzystujący serwery zasilane przez wrażliwe mikroukłady Intel.
CA / B Forum Ballot SC22 nie działa
Głosowanie na forum CA / B SC22, propozycja skrócenia maksymalnego okresu ważności SSL /TLS certyfikaty od 825 dni do jednego roku na forum Wymagania podstawowe, nie zdał po zakończeniu głosowania 9 września. Środek został jednogłośnie poparty przez przeglądarki, ale tylko 35% CA zagłosowało na TAK, co znacznie odbiega od 66% wymaganych do głosowania.
Zwolennicy Ballot SC22 przytaczali te potencjalne korzyści płynące z krótszych okresów ważności certyfikatów:
- Szybsze wdrażanie zmian do wymagań podstawowych i programów certyfikatów głównych dla przeglądarki / systemu operacyjnego.
- Zmniejszone ryzyko związane z zagrożonymi kluczami prywatnymi, odwołanymi certyfikatami i nieprawidłowo wydanymi certyfikatami.
- Zachęcanie do automatycznej wymiany certyfikatów i zniechęcanie do podatnych na błędy podejść do śledzenia okresów ważności certyfikatów (takich jak arkusze kalkulacyjne).
Krytycy (w tym większość urzędów certyfikacji), choć czasami zgadzają się co do zasady, że krótsze okresy ważności certyfikatów są bardziej bezpieczne i akceptując, że w tym kierunku zmierza branża, utrzymywali, że
- Zwolennicy głosowania nie przedstawili wystarczających danych, aby określić zagrożenie, jakie stwarza aktualny okres ważności certyfikatu.
- Wielu klientów CA było zdecydowanie przeciwnych temu działaniu, zwłaszcza ci, którzy nie byli obecnie przygotowani do wdrożenia automatyzacji.
SSL.com głosował TAK w głosowaniu, stwierdzając, że:
Biorąc pod uwagę toczącą się debatę i przedstawione przekonujące argumenty, w pełni rozumiemy, dlaczego inne właściwe organy decydują się głosować na NIE lub wstrzymać się od głosu. Jednak w ramach naszych nieustających wysiłków, aby być elastycznym i zwinnym jako CA, jest to kierunek, w którym zmierzamy, niezależnie od wyniku głosowania.
Patrick Nohe z SSL Store ma rozszerzenie dłużej na SC22 i prezentowane różne stanowiska.
DNS przez HTTPS (DoH) w Firefox i Chrome
Mozilla i Google ogłosiły we wrześniu obwieszczenia dotyczące wdrożenia DNS przez HTTPS (DoH) w Firefox i Chrome:
- Chrom: Blog Chromium ogłosił 10 września 2019 r. Chrome 78 będzie zawierał eksperyment, który będzie korzystał z DoH, ale tylko wtedy, gdy obecny dostawca DNS użytkownika znajduje się na liście wybranych dostawców zgodnych z DoH dołączonej do przeglądarki.
- Firefox: Mozilla ogłosił 6 września 2019 r. wprowadzą DoH jako domyślne ustawienie przeglądarki Firefox w USA pod koniec września. W przeciwieństwie do implementacji Google Firefox domyślnie korzysta z serwerów DoH Cloudflare (chociaż użytkownik może ręcznie określić innego dostawcę).
Czytelnicy z Wielkiej Brytanii powinni zauważyć, że „złoczyńca internetowy„Firefox to zrobi nie włącz DoH domyślnie dla Brytyjczyków w najbliższym czasie; jest to jednak bardzo proste umożliwiać, więc nie pozwól, aby to powstrzymało Cię przed szyfrowaniem zapytań DNS do syta.
A skoro mowa o Cloudflare…
Cloudflare ogłosił 25 września, że będzie wprowadzać WARP i WARP Plus (lub WARP + w zależności od tego, gdzie go czytasz) usługi dla ogółu społeczeństwa za pośrednictwem jego1.1.1.1 aplikacja mobilna, rozszerzająca obecną funkcję aplikacji polegającą na udostępnianiu zaszyfrowanego DNS użytkownikom mobilnym.
Jak opisano we wcześniejszym (i nie do oszukania) 1 kwietnia Cloudflare zapowiedź, WARP to VPN, zbudowany wokół Wireguard protokół, który szyfruje ruch sieciowy między urządzeniami mobilnymi a brzegiem sieci Cloudflare. Podstawowa usługa WARP jest świadczona bezpłatnie, „bez ograniczeń przepustowości”. WARP Plus to usługa premium, w cenie 4.99 USD miesięcznie, która oferuje szybszą wydajność za pośrednictwem sieci Argo Cloudflare.
Cloudflare oferuje obecnie 10 GB bezpłatnej WARP Plus około 2 milionom osób na liście oczekujących na WARP oraz 1 GB usługi za polecanie znajomemu.
Czy twój serwer przecieka naciśnięcia klawiszy?
Rejestr informuje, że badacze bezpieczeństwa w grupie badań bezpieczeństwa VUSec, z Vrije Universiteit Amsterdam, odkryli atak z boku kanału, nazwany „NetCAT, ”Która pozwala dobrze połączonemu podsłuchiwaczowi obserwować czas pomiędzy pakietami danych wysyłanymi do serwerów za pomocą Intel Data Direct I / O (DDIO) (tj. wszystkie procesory Xeon klasy serwerowej wydane od 2012 r.). Badacze VUSec wykazali, że dane te można wykorzystać do rekonstrukcji uderzeń klawiszy celu, porównując je z modelem ich zachowania podczas pisania.
Na szczęście exploit NetCAT nie jest łatwy do zaimplementowania i wymaga, aby osoba atakująca była bezpośrednio połączona z serwerem. Sam Intel charakteryzuje wrażliwość jako niezbyt poważną, stwierdzając to
Wykorzystanie wcześniej opublikowanych najlepszych praktyk w zakresie odporności kanału bocznego w aplikacjach oprogramowania i implementacjach kryptograficznych, w tym przy użyciu kodu w stylu stałego czasu, może złagodzić exploity opisane w tym badaniu.
Jeśli chcesz przejść bezpośrednio do źródła, sprawdź VUSec biały papier podczas ataku.
Dziękujemy za wybranie SSL.com! W razie jakichkolwiek pytań prosimy o kontakt mailowy pod adresem Support@SSL.com, połączenie 1-877-SSL-SECURElub po prostu kliknij link czatu w prawym dolnym rogu tej strony.
