欢迎来到 SSL.com 2019 年 XNUMX 月版 安全综述,这是月末摘要,我们重点介绍SSL /TLS、数字证书和一般数字安全。
今天我们要介绍的是最近 CA/B 论坛投票 旨在减少 SSL/TLS 证书的生命周期, 通过HTTPS的DNS 在 Firefox 和 Chrome 中,Cloudflare 的新功能 WARP 服务,以及新发现的 侧信道 利用易受攻击的英特尔芯片组驱动的服务器的攻击。
CA/B 论坛投票 SC22 失败
CA/B 论坛投票 SC22,减少SSL最长有效期的提案/TLS 论坛中的证书从 825 天到一年 基准要求, 未能通过 9月35日投票结束后,该措施得到了浏览器的一致支持,但只有66%的CA投了赞成票,远低于投票通过所需的XNUMX%。
Ballot SC22 的支持者列举了短期证书的潜在好处:
- 更快地实施对基准要求和浏览器/操作系统根证书程序的更改。
- 降低私钥泄露、证书吊销和证书颁发不当带来的风险。
- 鼓励自动更换证书,并阻止使用容易出错的方法来跟踪证书生命周期(例如电子表格)。
批评者(包括大多数 CA)虽然有时原则上同意较短的证书寿命更安全,并承认这是行业的发展方向,但他们坚持认为
- 投票的支持者没有提供足够的数据来具体说明当前证书寿命所构成的威胁。
- 许多 CA 的客户强烈反对这项措施,尤其是那些目前尚未准备好实施自动化的客户。
SSL.com 在投票中投了赞成票,并指出:
鉴于正在进行的辩论和提出的有说服力的论据,我们完全理解为什么其他 CA 选择投反对票或弃权票。 然而,作为我们作为 CA 不断做出的响应和敏捷努力的一部分,无论投票结果如何,这都是我们前进的方向。
SSL Store 的 Patrick Nohe 有一个 需要更长的时间 关于 SC22 以及提出的不同立场。
Firefox 和 Chrome 中的 DNS over HTTPS (DoH)
Mozilla 和 Google 均于 XNUMX 月份宣布实施 通过HTTPS的DNS(DoH) 在 Firefox 和 Chrome 中:
- Chrome: Chromium 博客 公布 10 年 2019 月 78 日,Chrome XNUMX 将包含一项使用 DoH 的实验,但前提是用户现有的 DNS 提供商位于浏览器附带的选定的 DoH 兼容提供商列表中。
- Firefox: Mozilla的 公布 6 年 2019 月 XNUMX 日,他们将于 XNUMX 月底在美国推出 DoH 作为其 Firefox 浏览器的默认设置。 与 Google 的实现不同,Firefox 默认情况下将使用 Cloudflare 的 DoH 服务器(尽管用户可以手动指定另一个提供商)。
英国读者应注意“互联网恶棍” 火狐将会 无需 默认启用 DoH 很快对英国人来说; 然而,这很简单 enable,因此不要因此而阻止您根据自己的喜好加密 DNS 查询。
说到 Cloudflare...
Cloudflare 公布 25月XNUMX日,该公司将推出 WARP 和 扭曲加 (或 WARP + 取决于您在哪里阅读)通过其向公众提供的服务1.1.1.1 移动应用程序,扩展了该应用程序当前向移动用户提供加密 DNS 的功能。
正如 Cloudflare 1 月 XNUMX 日早些时候(非愚弄的)中所述 公告, WARP 是一个 VPN,围绕 Wireguard 协议,对移动设备和 Cloudflare 网络边缘之间的网络流量进行加密。 基本的 WARP 服务是免费提供的,“没有带宽上限或限制”。 WARP Plus 是一项高级服务,价格为每月 4.99 美元,通过 Cloudflare 的 Argo 网络提供更快的性能。
Cloudflare 目前向 WARP 候补名单上的约 10 万人提供 2GB 免费 WARP Plus,并为推荐朋友提供 1GB 服务。
您的服务器是否泄漏击键?
注册 报告称,安全研究小组的安全研究人员 VUSec阿姆斯特丹自由大学的研究人员发现了一个 侧通道攻击,被称为“网络猫,”这使得连接良好的窃听者能够观察使用英特尔数据直接 I/O 发送到服务器的数据包之间的时间(迪奥)技术(即自 2012 年以来发布的所有服务器级 Xeon 处理器)。 VUSec 研究人员证明,通过将这些数据与目标的打字行为模型进行比较,可以使用这些数据来重建目标的击键。
值得庆幸的是,NetCAT 漏洞的实施并不简单,需要攻击者直接连接到服务器。 英特尔本身 表征 该漏洞不是特别严重,指出
采用先前发布的软件应用程序和加密实现中的侧信道抵抗最佳实践(包括使用恒定时间样式代码)可以减轻本研究中描述的漏洞。
如果您想直接查看源代码,请查看 VUSec 白皮书 在攻击。
感谢您选择SSL.com! 如有任何疑问,请通过电子邮件与我们联系 Support@SSL.com,致电 1-877-SSL-SECURE,或只需单击此页面右下方的聊天链接。