- Artikel tentang serangan man-in-the-middle (MitM) terhadap layanan jabber.ru dan xmpp.ru, yang diduga dipimpin oleh negara Jerman
- Serangan dilakukan dengan bantuan penyedia hosting Hetzner dan Linode, dan sertifikat validasi domain diterbitkan tanpa otorisasi
- Dua cara untuk mendeteksi serangan semacam ini adalah memantau log Certificate Transparency dan terhubung secara berkala ke layanan untuk memeriksa kunci publik yang digunakan server TLS
- Namun, metode deteksi ini memiliki keterbatasan, yaitu Certificate Transparency (CT) bersifat opsional dan adanya kemungkinan MitM selektif
- Artikel tersebut mengusulkan strategi mitigasi, termasuk menerapkan ACME-CAA (RFC 8657) untuk mencegah penerbitan sertifikat TLS tanpa otorisasi dan memastikan hanya akun tertentu dari CA tertentu yang dapat menerbitkan sertifikat untuk domain tersebut
- Artikel ini membahas tindakan yang dapat diambil oleh lawan antarnegara yang lebih mampu, serta menyoroti celah dalam infrastruktur TLS saat ini
- Rekomendasi untuk operator layanan mencakup penerapan ACME-CAA, penerapan DNSSEC, menghindari layanan seperti Cloudflare, berlangganan layanan pemantauan log CT, dan menggunakan arbitrase yurisdiksi
- Rekomendasi untuk CA/Browser Forum adalah mewajibkan semua sertifikat dicatat dalam log CT
- Rekomendasi untuk vendor perangkat lunak klien aplikasi adalah menambahkan dukungan yang mewajibkan keberadaan bukti CT pada sertifikat TLS
- Pengguna akhir disarankan untuk menganggap layanan telah dikompromikan, menggunakan teknologi enkripsi ujung ke ujung, dan mempertimbangkan penggunaan layanan tersembunyi Tor
- CA disarankan untuk menyediakan dukungan untuk ACME-CAA dan selalu mencatat sertifikat ke CT
- Artikel ini menyimpulkan bahwa teknologi "confidential computing" saat ini tidak sepenuhnya aman karena bergantung pada vendor golden key
Belum ada komentar.