Passa al contenuto principale

7. Considerazioni sulla sicurezza

7.1. Attacchi con intestazioni ostili

Quando gli UA supportano il campo di intestazione Expect-CT, diventa un potenziale vettore per attacchi con intestazioni ostili contro i proprietari di siti. Se un proprietario di sito utilizza un certificato emesso da un'autorità di certificazione che non incorpora SCT né serve SCT tramite il protocollo OCSP (Online Certificate Status Protocol) o l'estensione TLS, un operatore di server dannoso o un attaccante potrebbe riconfigurare temporaneamente l'host per conformarsi alla politica CT dell'UA e aggiungere il campo di intestazione Expect-CT in modalità enforce con un max-age lungo.

Gli operatori di siti possono mitigare questa situazione in uno dei seguenti modi: riconfigurando il loro server Web per trasmettere SCT utilizzando l'estensione TLS definita nella sezione 6.5 di [RFC9162]; ottenendo un certificato da un'autorità di certificazione alternativa che fornisce SCT tramite uno degli altri metodi; o aspettando che la notazione persistente dell'agente utente di questo come host Expect-CT raggiunga il suo max-age.

7.2. max-age massimo

C'è un compromesso di sicurezza in quanto i valori massimi bassi forniscono una finestra di protezione ristretta per gli utenti che visitano l'host Expect-CT noto solo raramente, mentre i valori massimi elevati potrebbero comportare un rifiuto di servizio a un UA in caso di attacco con intestazione ostile o semplicemente un errore da parte del proprietario del sito.

Probabilmente non c'è un massimo ideale per la direttiva max-age. Poiché Expect-CT è principalmente una tecnologia di espansione delle politiche e investigazione piuttosto che una protezione dell'utente finale, un valore dell'ordine di 30 giorni (2.592.000 secondi) può essere considerato un equilibrio tra queste preoccupazioni di sicurezza concorrenti.

7.3. Attacchi di amplificazione

Un altro tipo di attacco con intestazione ostile utilizza il meccanismo report-uri su molti host che attualmente non espongono SCT come metodo per causare un rifiuto di servizio all'host che riceve i report. Se alcuni siti Web ad alto traffico emettessero un campo di intestazione Expect-CT non applicato con un report-uri, i report degli UA di implementazione potrebbero inondare l'host di report. È notato nella sezione 2.1.1 che gli UA dovrebbero limitare la velocità con cui emettono report, ma un attaccante può alterare i campi di intestazione Expect-CT per indurre gli UA a inviare report diversi a URI diversi per causare comunque lo stesso effetto.

Ultimo aggiornamento il