- Artículo sobre un ataque man-in-the-middle (MitM) contra los servicios jabber.ru y xmpp.ru, presuntamente liderado por el Estado alemán
- El ataque se llevó a cabo con ayuda de los proveedores de hosting Hetzner y Linode, y se emitieron certificados de validación de dominio sin autorización
- Dos formas de detectar estos ataques son monitorear los registros de Certificate Transparency y conectarse periódicamente al servicio para verificar la clave pública usada por el servidor TLS
- Sin embargo, estos métodos de detección tienen limitaciones: Certificate Transparency (CT) es opcional y existe la posibilidad de MitM selectivo
- El artículo propone estrategias de mitigación, incluida la implementación de ACME-CAA (RFC 8657) para evitar la emisión no autorizada de certificados TLS y permitir que solo cuentas específicas de una CA determinada puedan emitir certificados para el dominio
- El artículo analiza qué acciones podría tomar un adversario estatal más capaz y destaca las brechas en la infraestructura TLS actual
- Las recomendaciones para operadores de servicios incluyen implementar ACME-CAA, implementar DNSSEC, evitar servicios como Cloudflare, suscribirse a servicios de monitoreo de registros CT y usar arbitraje jurisdiccional
- Las recomendaciones para el CA/Browser Forum incluyen exigir que todos los certificados se registren en los logs de CT
- Las recomendaciones para proveedores de software cliente de aplicaciones incluyen añadir soporte para exigir la presencia de evidencia CT en los certificados TLS
- Se recomienda a los usuarios finales asumir que el servicio ha sido comprometido, usar tecnologías de cifrado de extremo a extremo y considerar el uso de servicios ocultos de Tor
- Se recomienda a las CA ofrecer soporte para ACME-CAA y registrar siempre los certificados en CT
- El artículo concluye que las tecnologías actuales de "computación confidencial" no son completamente seguras porque dependen de claves maestras del proveedor
Aún no hay comentarios.