- Artikel über einen Man-in-the-Middle-(MitM)-Angriff auf die Dienste jabber.ru und xmpp.ru, der vermutlich von einem deutschen Staat durchgeführt wurde
- Der Angriff wurde mit Unterstützung der Hosting-Anbieter Hetzner und Linode durchgeführt; dabei wurden unbefugt Domain-Validierungszertifikate ausgestellt
- Zwei Möglichkeiten, solche Angriffe zu erkennen, sind die Überwachung von Certificate-Transparency-Logs und die regelmäßige Verbindung zum Dienst, um den vom TLS-Server verwendeten öffentlichen Schlüssel zu überprüfen
- Diese Erkennungsmethoden haben jedoch Einschränkungen: Certificate Transparency (CT) ist optional, und selektive MitM-Angriffe bleiben möglich
- Der Artikel schlägt als Gegenmaßnahmen unter anderem die Einführung von ACME-CAA (RFC 8657) vor, um die unbefugte Ausstellung von TLS-Zertifikaten zu verhindern und sicherzustellen, dass nur bestimmte Konten bestimmter CAs Zertifikate für eine Domain ausstellen können
- Außerdem erörtert der Artikel, welche Maßnahmen fähigere staatliche Gegner ergreifen könnten, und hebt Lücken in der aktuellen TLS-Infrastruktur hervor
- Empfehlungen für Service-Betreiber umfassen die Einführung von ACME-CAA, die Einführung von DNSSEC, das Vermeiden von Diensten wie Cloudflare, die Anmeldung bei Diensten zur Überwachung von CT-Logs und den Einsatz von Zuständigkeitsarbitrage
- Empfehlungen an das CA/Browser Forum umfassen die Verpflichtung, dass alle Zertifikate in CT-Logs eingetragen werden
- Empfehlungen an Anbieter von Application-Client-Software umfassen die Ergänzung von Support zur Erzwingung des Vorhandenseins von CT-Nachweisen in TLS-Zertifikaten
- Endnutzern wird empfohlen, davon auszugehen, dass Dienste kompromittiert wurden, End-to-End-Verschlüsselung zu verwenden und den Einsatz von Tor Hidden Services in Betracht zu ziehen
- CAs wird empfohlen, Support für ACME-CAA bereitzustellen und Zertifikate stets in CT zu protokollieren
- Der Artikel kommt zu dem Schluss, dass aktuelle „Confidential Computing“-Technologien nicht vollständig sicher sind, weil sie auf Vendor-Golden-Keys angewiesen sind
Noch keine Kommentare.