Välkommen till septemberutgåvan av SSL.com Säkerhet Roundup, en sammandrag i slutet av månaden där vi lyfter fram viktig utveckling inom SSL /TLS, digitala certifikat och digital säkerhet i allmänhet.
Idag kommer vi att täcka ett nyligen CA / B Forum-omröstning syftar till att minska SSL /TLS certifikat livstid, DNS via HTTPS i Firefox och Chrome är Cloudflares nya VARP service och en nyupptäckt sida-kanal attack som utnyttjar servrar som drivs av sårbara Intel-chipset.
CA / B Forum Ballot SC22 misslyckas
CA / B Forum Ballot SC22, ett förslag om att minska den maximala giltighetsperioden för SSL /TLS certifikat från 825 dagar till ett år i forumet Baslinjekrav, misslyckades med att klara efter omröstningen avslutades den 9 september. Åtgärden stöddes enhälligt av webbläsarna, men endast 35% av CA: s röstade JA, vilket var långt under de 66% som krävs för att omröstningen skulle gå.
Ballot SC22s stödjare citerade dessa potentiella fördelar med kortare livscertifikat:
- Snabbare implementering av ändringar av baslinjekraven och webbläsarens / OS-certifikatprogrammen.
- Minskad risk från komprometterade privata nycklar, återkallade certifikat och felaktigt utfärdade certifikat.
- Uppmuntran till automatiserad certifikatersättning och avskräckande av felbenägna metoder för att spåra certifikatets livslängd (till exempel kalkylblad).
Förnekare (inklusive majoriteten av CA), medan de ibland i princip samtycker till att kortare certifikatlivslängder är säkrare och accepterar att detta är den riktning som branschen går mot, hävdade att
- Omröstningens anhängare hade inte lagt fram tillräckliga uppgifter för att specificera hotet från nuvarande certifikatlivslängd.
- Många av CA: s kunder var starkt emot mot åtgärden, särskilt de som för närvarande inte var beredda att implementera automatisering.
SSL.com röstade JA om omröstningen och konstaterade att:
Med tanke på den pågående debatten och övertygande argument som vi har förstått förstår vi fullständigt varför andra myndigheter väljer att rösta NEJ eller avstå från att rösta. Men som en del av våra pågående ansträngningar att vara lyhörda och smidiga som CA är detta den riktning vi är på väg oavsett resultatet av omröstningen.
SSL-butikens Patrick Nohe har en längre ta på SC22 och de olika ståndpunkter som presenteras.
DNS via HTTPS (DoH) i Firefox och Chrome
Mozilla och Google meddelade båda i september om implementering DNS via HTTPS (DoH) i Firefox och Chrome:
- Krom: Chromium-bloggen meddelade den 10 september 2019 kommer Chrome 78 att inkludera ett experiment som kommer att använda DoH, men bara om användarens befintliga DNS-leverantör finns i en lista över utvalda DoH-kompatibla leverantörer som ingår i webbläsaren.
- firefox: Mozilla meddelade den 6 september 2019 att de kommer att lansera DoH som standardinställning för sin Firefox-webbläsare i USA i slutet av september. Till skillnad från Googles implementering kommer Firefox att använda Cloudflares DoH-servrar som standard (även om användaren kan ange en annan leverantör manuellt).
UK-läsare bör notera att ”internet skurk”Firefox kommer inte aktivera DoH som standard för britton när som helst snart; det är dock mycket enkelt att göra möjliggöra, så låt inte det hindra dig från att kryptera dina DNS-frågor till ditt hjärta.
Och talar om Cloudflare ...
CloudFlare meddelade den 25 september att den kommer att rulla ut dess VARP och WARPPlus (eller WARP + beroende på var du läser det) tjänster till allmänheten via dess1.1.1.1 mobilapp, utökar appens nuvarande funktion att tillhandahålla krypterad DNS till mobilanvändare.
Som beskrivs i Cloudflares tidigare (och icke-lurande) 1 april meddelande, WARP är en VPN, byggd runt Trådskydd protokoll, som krypterar nätverkstrafik mellan mobila enheter och kanten av Cloudflares nätverk. Den grundläggande WARP-tjänsten tillhandahålls gratis, "utan bandbreddskåp eller begränsningar." WARP Plus är en premiumtjänst till en pris av 4.99 USD per månad som erbjuder snabbare prestanda via Cloudflares Argo-nätverk.
Cloudflare erbjuder för närvarande 10 GB gratis WARP Plus till cirka 2 miljoner människor på WARP-väntelistan och 1 GB tjänst för att hänvisa till en vän.
Är din läckertangenttryckning på din server?
Registret rapporterar att säkerhetsforskare vid säkerhetsforskningsgruppen VUSec, av Vrije Universiteit Amsterdam, har upptäckt en sidokanalattack, dubbade "netcat, ”Som gör det möjligt för en väl ansluten avlyssnare att följa tidpunkten mellan datapaket som skickas till servrar med Intels Data Direct I / O (DDIO) -teknik (dvs. alla serverklassade Xeon-processorer som utfärdats sedan 2012). VUSec-forskare visade att dessa data kan användas för att rekonstruera ett måls tangenttryckningar genom att jämföra dem med en modell för deras typbeteende.
Tack och lov är NetCAT-exploatet inte trivialt att implementera och kräver att angriparen är direkt ansluten till servern. Intel själv karaktäriserar sårbarheten som inte särskilt allvarlig, med uppgift om det
Att använda tidigare publicerade bästa praxis för sidokanalmotstånd i mjukvaruapplikationer och kryptografiska implementeringar, inklusive användning av stilkod med konstant tid, kan mildra de exploateringar som beskrivs i denna forskning.
Om du vill gå direkt till källan, kolla in VUSecs vitt papper på attacken.
Tack för att du valde SSL.com! Om du har några frågor, vänligen kontakta oss via e-post på Support@SSL.com, ring upp 1-877-SSL-SECURE, eller bara klicka på chattlänken längst ner till höger på denna sida.
