Bem-vindo à edição de setembro de 2019 do SSL.com Resumo de segurança, um resumo de fim de mês em que destacamos desenvolvimentos importantes no campo de SSL /TLS, certificados digitais e segurança digital em geral.
Hoje estaremos cobrindo um recente Cédula do Fórum CA / B destinado a reduzir SSL /TLS vida útil do certificado, DNS sobre HTTPS no Firefox e Chrome, o novo Cloudflare WARP serviço e um recém-descoberto canal lateral ataque que explora servidores alimentados por chipsets Intel vulneráveis.
Falha na votação SC22 do fórum da CA / B
Boletim do Fórum CA / B SC22, uma proposta para reduzir o período máximo de validade do SSL /TLS certificados de 825 dias a um ano no fórum Requisitos de linha de base, falhou em passar após o término da votação, em 9 de setembro. A medida foi apoiada por unanimidade pelos navegadores, mas apenas 35% dos CAs votaram SIM, ficando muito abaixo dos 66% necessários para a votação.
Os apoiadores da cédula SC22 citaram estes benefícios potenciais de certificados de curta duração:
- Implementação mais rápida das alterações nos Requisitos da Linha de Base e nos programas de certificado raiz do navegador / SO.
- Risco reduzido de chaves privadas comprometidas, certificados revogados e certificados emitidos incorretamente.
- Incentivo à substituição automática de certificados e desencorajamento de abordagens propensas a erros para rastrear a vida útil do certificado (como planilhas).
Detratores (incluindo a maioria das autoridades de certificação), embora às vezes concordem em princípio que prazos mais curtos de vida útil do certificado sejam mais seguros e aceitem que essa é a direção que o setor está seguindo, sustentou que
- Os apoiadores da votação não apresentaram dados suficientes para especificar a ameaça representada pela expectativa de vida dos certificados atuais.
- Muitos dos clientes dos CAs se opuseram fortemente à medida, especialmente aqueles que não estavam preparados para implementar a automação.
SSL.com votou SIM na votação, declarando que:
Dado o debate em andamento e os argumentos persuasivos apresentados, entendemos perfeitamente por que outras autoridades de certificação optam por votar em NÃO ou em abster-se. No entanto, como parte de nossos esforços contínuos para ser ágil e ágil como uma autoridade de certificação, essa é a direção que estamos seguindo, independentemente do resultado da votação.
Patrick Nohe da SSL Store tem um demorar mais em SC22 e as diferentes posições apresentadas.
DNS sobre HTTPS (DoH) no Firefox e Chrome
Mozilla e Google fizeram anúncios em setembro sobre a implementação DNS sobre HTTPS (DoH) no Firefox e Chrome:
- Chrome: The Chromium Blog anunciou em 10 de setembro de 2019, o Chrome 78 incluirá um experimento que usará DoH, mas apenas se o provedor DNS existente do usuário estiver em uma lista de provedores compatíveis com DoH selecionados incluídos com o navegador.
- Raposa de fogo: Mozilla anunciou em 6 de setembro de 2019, eles lançarão o DoH como uma configuração padrão para o navegador Firefox nos EUA no final de setembro. Diferentemente da implementação do Google, o Firefox usará os servidores DoH do Cloudflare por padrão (embora o usuário possa especificar manualmente outro provedor).
Os leitores do Reino Unido devem notar que “vilão da internet”Firefox irá não ativar o DoH por padrão para os britânicos em breve; no entanto, é muito simples permitir, então não deixe que isso o impeça de criptografar suas consultas DNS o quanto quiser.
E por falar em Cloudflare ...
Cloudflare anunciou no dia 25 de setembro, lançará sua WARP e WARPPlus (ou WARP + dependendo de onde você o lê) presta serviços ao público em geral1.1.1.1 aplicativo móvel, estendendo a função atual do aplicativo de fornecer DNS criptografado para usuários móveis.
Conforme descrito no Cloudflare anterior (e não enganoso) 1 de abril anúncio, WARP é uma VPN, construída em torno do Vigia protocolo, que criptografa o tráfego de rede entre dispositivos móveis e a borda da rede do Cloudflare. O serviço WARP básico é fornecido gratuitamente, “sem limites ou limites de largura de banda”. WARP Plus é um serviço premium, com preço de $ 4.99 por mês, que oferece desempenho mais rápido por meio da rede Argo da Cloudflare.
Atualmente, a Cloudflare oferece 10 GB de WARP Plus gratuito para aproximadamente 2 milhões de pessoas na lista de espera da WARP e 1 GB de serviço para indicar um amigo.
Seu servidor está vazando pressionamentos de tecla?
O registro relata que pesquisadores de segurança do grupo de pesquisa de segurança VUSec, da Vrije Universiteit Amsterdam, descobriram um ataque de canal lateral, apelidado "NetCAT, ”Que permite a um bisbilhoteiro bem conectado observar o tempo entre os pacotes de dados enviados aos servidores usando o Data Direct I / O da Intel (DDIO) (ou seja, todos os processadores Xeon de nível de servidor lançados desde 2012). Os pesquisadores da VUSec demonstraram que esses dados podem ser usados para reconstruir as teclas digitadas por um alvo, comparando-as a um modelo de seu comportamento de digitação.
Felizmente, a exploração do NetCAT não é trivial para implementar e exige que o invasor esteja conectado diretamente ao servidor. Própria Intel caracteriza a vulnerabilidade como não particularmente grave, afirmando que
Empregar as melhores práticas publicadas anteriormente para resistência de canal lateral em aplicativos de software e implementações criptográficas, incluindo o uso de código de estilo de tempo constante, pode mitigar os exploits descritos nesta pesquisa.
Se você gostaria de ir direto para a fonte, verifique o VUSec's artigo: no ataque.
Obrigado por escolher SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou clique no link de bate-papo no canto inferior direito desta página.