- บทความเกี่ยวกับการโจมตีแบบ man-in-the-middle (MitM) ต่อบริการ jabber.ru และ xmpp.ru ซึ่งคาดว่าเป็นการดำเนินการโดยรัฐเยอรมนี
- การโจมตีเกิดขึ้นโดยได้รับความช่วยเหลือจากผู้ให้บริการโฮสติ้ง Hetzner และ Linode และมีการออกใบรับรองการตรวจสอบความถูกต้องของโดเมนโดยไม่ได้รับอนุญาต
- วิธีตรวจจับการโจมตีลักษณะนี้มีอยู่สองแบบ คือการเฝ้าติดตาม Certificate Transparency logs และการเชื่อมต่อไปยังบริการเป็นระยะเพื่อตรวจสอบกุญแจสาธารณะที่ใช้โดยเซิร์ฟเวอร์ TLS
- อย่างไรก็ตาม วิธีตรวจจับเหล่านี้มีข้อจำกัดคือ Certificate Transparency (CT) ยังเป็นทางเลือก และยังมีความเป็นไปได้ของการทำ MitM แบบเลือกเป้าหมาย
- บทความเสนอแนวทางบรรเทา เช่น การนำ ACME-CAA (RFC 8657) มาใช้งาน เพื่อป้องกันการออกใบรับรอง TLS โดยไม่ได้รับอนุญาต และเพื่อให้มีเพียงบัญชีเฉพาะของ CA ที่กำหนดเท่านั้นที่สามารถออกใบรับรองให้โดเมนได้
- บทความยังอภิปรายถึงการกระทำที่คู่ปรปักษ์ระดับรัฐชาติที่มีความสามารถสูงกว่านี้อาจทำได้ และชี้ให้เห็นช่องว่างในโครงสร้างพื้นฐาน TLS ปัจจุบัน
- คำแนะนำสำหรับผู้ดูแลบริการประกอบด้วยการใช้งาน ACME-CAA, การใช้งาน DNSSEC, การหลีกเลี่ยงบริการอย่าง Cloudflare, การสมัครใช้บริการเฝ้าติดตาม CT logs และการใช้การไกล่เกลี่ยตามเขตอำนาจศาล
- คำแนะนำต่อ CA/Browser Forum คือให้กำหนดให้ใบรับรองทั้งหมดต้องถูกบันทึกลงใน CT logs
- คำแนะนำสำหรับผู้พัฒนาซอฟต์แวร์ไคลเอนต์ของแอปพลิเคชันคือเพิ่มการรองรับที่บังคับให้มีหลักฐาน CT อยู่ในใบรับรอง TLS
- ผู้ใช้ปลายทางได้รับคำแนะนำให้สมมติว่าบริการถูกเจาะแล้ว ใช้เทคโนโลยีการเข้ารหัสแบบต้นทางถึงปลายทาง และพิจารณาใช้ Tor hidden services
- แนะนำให้ CA รองรับ ACME-CAA และบันทึกใบรับรองลง CT เสมอ
- บทความสรุปว่าเทคโนโลยี "confidential computing" ในปัจจุบันยังไม่ปลอดภัยอย่างสมบูรณ์ เพราะพึ่งพา vendor golden keys
ยังไม่มีความคิดเห็น