- jabber.ru और xmpp.ru सेवाओं पर man-in-the-middle (MitM) हमले पर एक लेख, जिसके जर्मन राज्य द्वारा संचालित होने का अनुमान है
- हमला होस्टिंग प्रदाताओं Hetzner और Linode की मदद से किया गया, और domain validation certificates अनधिकृत रूप से जारी किए गए
- ऐसे हमलों का पता लगाने के दो तरीके हैं: Certificate Transparency logs की मॉनिटरिंग और TLS सर्वर द्वारा उपयोग की जा रही public keys की पुष्टि करने के लिए सेवा से समय-समय पर कनेक्ट करना
- हालांकि, इन detection तरीकों की सीमाएँ हैं, जैसे Certificate Transparency (CT) का वैकल्पिक होना और selective MitM की संभावना
- लेख mitigation strategies सुझाता है, जिनमें TLS certificates के अनधिकृत issuance को रोकने और किसी विशेष CA के केवल विशेष account को किसी domain के लिए certificate जारी करने की अनुमति देने हेतु ACME-CAA (RFC 8657) को deploy करना शामिल है
- लेख इस पर भी चर्चा करता है कि अधिक सक्षम nation-state adversaries क्या कदम उठा सकते हैं, और मौजूदा TLS infrastructure में मौजूद gaps को रेखांकित करता है
- service operators के लिए सिफारिशों में ACME-CAA deploy करना, DNSSEC deploy करना, Cloudflare जैसी सेवाओं से बचना, CT log monitoring services की सदस्यता लेना, और jurisdictional arbitration का उपयोग करना शामिल है
- CA/Browser Forum के लिए सिफारिश है कि सभी certificates के लिए CT logs में दर्ज होना अनिवार्य किया जाए
- application client software vendors के लिए सिफारिश है कि TLS certificates में CT proof की उपस्थिति को enforce करने वाला support जोड़ा जाए
- end users को यह मानकर चलने की सलाह दी जाती है कि service compromise हो चुकी है, end-to-end encryption technologies का उपयोग करें, और Tor hidden services के उपयोग पर विचार करें
- CAs को ACME-CAA support प्रदान करने और certificates को हमेशा CT में log करने के लिए प्रोत्साहित किया गया है
- लेख निष्कर्ष निकालता है कि वर्तमान "confidential computing" technologies पूरी तरह सुरक्षित नहीं हैं क्योंकि वे vendor golden keys पर निर्भर करती हैं
अभी कोई टिप्पणी नहीं है.