- Bài viết về cuộc tấn công man-in-the-middle (MitM) nhắm vào các dịch vụ jabber.ru và xmpp.ru, được cho là do nhà nước Đức dẫn dắt
- Cuộc tấn công được thực hiện với sự hỗ trợ từ các nhà cung cấp hosting Hetzner và Linode, đồng thời chứng chỉ xác thực tên miền đã bị cấp phát trái phép
- Hai cách để phát hiện các cuộc tấn công kiểu này là giám sát nhật ký Certificate Transparency và định kỳ kết nối tới dịch vụ để kiểm tra khóa công khai mà máy chủ TLS đang sử dụng
- Tuy nhiên, các phương pháp phát hiện này có những hạn chế như Certificate Transparency (CT) là tùy chọn và khả năng xảy ra MitM có chọn lọc
- Bài viết đề xuất các chiến lược giảm thiểu, bao gồm triển khai ACME-CAA (RFC 8657) để ngăn việc cấp phát trái phép chứng chỉ TLS và chỉ cho phép các tài khoản cụ thể của một CA nhất định được cấp chứng chỉ cho tên miền
- Bài viết thảo luận về những hành động mà một đối thủ quốc gia-nhà nước có năng lực cao hơn có thể thực hiện, đồng thời nhấn mạnh các khoảng trống trong hạ tầng TLS hiện tại
- Các khuyến nghị dành cho nhà vận hành dịch vụ bao gồm triển khai ACME-CAA, triển khai DNSSEC, tránh các dịch vụ như Cloudflare, đăng ký dịch vụ giám sát nhật ký CT, và sử dụng phân xử theo khu vực tài phán
- Các khuyến nghị dành cho CA/Browser Forum bao gồm yêu cầu mọi chứng chỉ đều phải được ghi vào nhật ký CT
- Các khuyến nghị dành cho nhà cung cấp phần mềm ứng dụng khách là bổ sung hỗ trợ bắt buộc sự hiện diện của bằng chứng CT trong chứng chỉ TLS
- Người dùng cuối được khuyến nghị giả định rằng dịch vụ đã bị xâm phạm, sử dụng các công nghệ mã hóa đầu cuối, và cân nhắc sử dụng Tor hidden services
- Các CA được khuyến nghị hỗ trợ ACME-CAA và luôn ghi chứng chỉ vào CT
- Bài viết kết luận rằng các công nghệ "confidential computing" hiện tại chưa hoàn toàn an toàn vì phụ thuộc vào vendor golden keys
Chưa có bình luận nào.