- jabber.ru와 xmpp.ru 서비스에 대한 man-in-the-middle (MitM) 공격에 대한 기사, 독일 국가가 주도한 것으로 추정됨
- 호스팅 제공업체인 Hetzner와 Linode에 의해 도움을 받아 공격이 이루어졌으며, 도메인 유효성 검사 인증서가 무단으로 발급되었음
- 이러한 공격을 탐지하는 두 가지 방법은 Certificate Transparency 로그 모니터링과 TLS 서버에서 사용하는 공개 키를 확인하기 위해 서비스에 주기적으로 연결하는 것
- 그러나 이러한 탐지 방법에는 Certificate Transparency (CT)가 선택 사항이라는 제한 사항과 선택적 MitM의 가능성이 있음
- 기사에서는 TLS 인증서의 무단 발급을 방지하고 특정 CA의 특정 계정만 도메인에 대한 인증서를 발급할 수 있도록 하는 ACME-CAA (RFC 8657)를 배포하는 것을 포함한 완화 전략을 제안함
- 기사는 더 능력 있는 국가-국가 적이 취할 수 있는 행동에 대해 논의하며, 현재 TLS 인프라에서의 격차를 강조함
- 서비스 운영자에 대한 권고 사항은 ACME-CAA 배포, DNSSEC 배포, Cloudflare와 같은 서비스 피하기, CT 로그 모니터링 서비스에 가입하기, 그리고 관할 지역 중재를 사용하는 것을 포함함
- CA/브라우저 포럼에 대한 권고 사항은 모든 인증서가 CT 로그에 기록되도록 요구하는 것
- 애플리케이션 클라이언트 소프트웨어 공급업체에 대한 권고 사항은 TLS 인증서에 CT 증거의 존재를 강제하는 지원을 추가하는 것
- 최종 사용자는 서비스가 침해되었다고 가정하고, 종단 간 암호화 기술을 사용하고, Tor 숨겨진 서비스를 사용하는 것을 고려하도록 권장됨
- CA는 ACME-CAA에 대한 지원을 제공하고 항상 인증서를 CT에 기록하도록 권장됨
- 기사는 현재의 "기밀 컴퓨팅" 기술이 벤더 골든 키에 의존하기 때문에 완전히 안전하지 않다고 결론을 내림