مرحبًا بكم في إصدار يونيو هذا من SSL.com Security Roundup. حل الصيف ، والوباء مستمر ، وكذلك أخبار الأمن الرقمي! سنلقي نظرة هذا الشهر على:
- أعضاء مجلس الشيوخ يقدمون مشروع قانون "الباب الخلفي" الجديد
- تخطط الحكومة الأمريكية لاستخدام HTTPS على جميع مواقع الويب .gov
- صفقة Comcast و Mozilla Strike Firefox DoH
- AddTrust External CA منتهي الصلاحية May 30
مجلس الشيوخ للنظر في التشفير الإلزامي
هذا هو نوع من yikes-y. بينما يفكر الكثير من البلاد في تقليص سلطة إنفاذ القانون ، قدم ثلاثة أعضاء في مجلس الشيوخ أ فاتورة صارمة ستجبر شركات التكنولوجيا على إنشاء نظام تشفير "أبواب خلفية" من شأنها أن تسمح لتطبيق القانون بالوصول إلى البيانات أثناء النقل وعلى الأجهزة. بصفته نائبًا لمجلة اللوحة الأم ضعها بإيجاز عنوانهم، "الجمهوريون الذين لا يفهمون التشفير يقدمون مشروع قانون لكسرها."
تعرض مشروع القانون من أعضاء مجلس الشيوخ ليندسي جراهام (جمهوري من ولاية كارولينا الجنوبية) ، وتوم كوتون (أركنساس) ، ومارشا بلاكبيرن (جمهوري من تينيسي) لانتقادات واسعة النطاق وشاملة من قبل صناعة التكنولوجيا والمدافعين عن الحقوق المدنية والعديد من الحس السليم. مثل توماس كلابورن البند في السجل يوضح:
يتطلب مشروع القانون تقديم أي شركة مع ضمان - "الشركة المصنعة للجهاز ، أو مزود نظام التشغيل ، أو مزود خدمة الحوسبة عن بُعد ، أو أي شخص آخر" - لمساعدة السلطات في "الوصول إلى المعلومات المخزنة على جهاز إلكتروني أو الوصول إلى المعلومات الإلكترونية المخزنة عن بُعد. "
لا يحدد كيف يجب التعامل مع التشفير ، فقط أنه يجب أن يكون غير قابل للتطبيق عندما يكون غير ملائم للسلطات ...
... يجب أن يقال إن التشفير يمنع أيضًا قدرًا لا بأس به من الجرائم عن طريق الحفاظ على أمان أشياء مثل الحسابات المصرفية عبر الإنترنت وتصفح الويب بشكل معقول. تكليف باب خلفي رياضي يمكن لأي شخص أن يجد، قد لا تكون الخطوة الأكثر حكمة.
للأسف ، هذه المحاولة للتشريع ليست جديدة بشكل خاص ، بل مجرد تكرار كسول لمحاولة تجاوز الأمن الرقمي لتسهيل الأمور على القوى التي تكون.
تخطط الحكومة الأمريكية لاستخدام HTTPS على جميع مواقع الويب .gov
في أخبار جيدة ، متأخرة ، حكومة الولايات المتحدة أعلنت تنوي إضافة المجال ".gov" إلى قائمة التحميل المسبق لأمان نقل HTTP الصارم (HSTS). في الوقت الحالي ، ستستمر بعض المواقع الحكومية في تقديم HTTP لإبقائها في متناول المستخدمين ، بقصد الوصول إلى النقطة التي ستستخدم فيها جميع خوادم الويب .gov HTTPS افتراضيًا.
لكن ، هذه هي الحكومة الفيدرالية ، ومن المهم أن نلاحظ أن أيًا من هذا لن يحدث بين عشية وضحاها. بدلاً من ذلك ، تعمل الولايات المتحدة على وضع نطاق .gov في قائمة HSTS للتحميل المسبق ، والتي ستتم في النهاية إعادة توجيه المستخدمين للتواصل عبر HTTPS كإعداد افتراضي.
من إعلانات الحكومةt:
لاحظ أننا نعلن عن نية لتحميل TLD مسبقًا ، لكننا لا نقوم بالفعل بتحميله مسبقًا اليوم. إذا فعلنا ذلك ، فإن بعض المواقع الحكومية التي لا تقدم HTTPS ستصبح غير قابلة للوصول للمستخدمين ، ولا نريد أن نؤثر سلبًا على الخدمات في طريقنا لتحسينها! في الواقع ، يعد التحميل المسبق خطوة بسيطة ، ولكن الوصول إلى هناك سيتطلب جهودًا متضافرة بين المنظمات الحكومية الفيدرالية والولائية والمحلية والقبلية التي تستخدم موردًا مشتركًا ، ولكن لا تعمل معًا في كثير من الأحيان في هذا المجال ... مع تضافر الجهود ، يمكننا التحميل المسبق. حكومة في غضون بضع سنوات.
في غضون ذلك ، ووفقًا لهذا الإعلان نفسه ، ستقوم الحكومة بإعداد مواقع فردية للانتقال ، وعقد عروض تقديمية وجلسات استماع ، وتحميل الكل تلقائيًا مسبقًا جديد تبدأ نطاقات .gov في سبتمبر. لقد أنشأوا أيضًا قائمة بريدية جديدة للحصول على تعليقات من الوكالات الحكومية حول التحديات التي يتوقعون مواجهتها.
صفقة Comcast و Mozilla Strike Firefox DoH
Comcast هو أول مزود خدمة إنترنت لـ شراكة مع Mozilla لتوفير عمليات بحث DNS مشفرة في Firefox. تأتي الصفقة بين الشركتين بعد النزاع على خصوصية مزود خدمة الإنترنت وما إذا كان DNS عبر HTTPS يزيل قدرة مزودي خدمة الإنترنت على تتبع المستخدمين والحفاظ على أشياء مثل الرقابة الأبوية.
جون برودكين في Ars Technica ويوضح أن Comcast سيكون أول مزود خدمة إنترنت ينضم إلى برنامج Trusted Recursive Resolver من Firefox ، لينضم إلى Cloudflare و NextDNS. البرنامج ، وفقًا لتلك المقالة ، “يتطلب موفري DNS المشفر للوفاء معايير الخصوصية والشفافية وتتعهد بعدم حظر النطاقات أو تصفيتها افتراضيًا "ما لم يكن ذلك مطلوبًا على وجه التحديد بموجب القانون في الولاية القضائية التي يعمل فيها المحلل".
في السابق ، اختلف الشريكان الآن حول DNS على HTTPS ، مما يمنع الناس من رؤية ما تقوم به متصفحات بحث DNS ، مما يجعل المراقبة من قبل مزودي خدمة الإنترنت صعبة للغاية. من مقال Ars Technica:
تعد شراكة Comcast / Mozilla ملحوظة لأن مزودي خدمة الإنترنت قد حاربوا خططًا لنشر DNS عبر HTTPS في المتصفحات ، ويهدف عمل Mozilla على التكنولوجيا إلى حد كبير إلى منع مزودي خدمة الإنترنت من التطفل على تصفح المستخدمين. في سبتمبر 2019 ، كتبت المجموعات الصناعية بما في ذلك لوبي الكابل NCTA الذي ينتمي إليه Comcast a خطاب إلى الكونجرس اعتراضًا على خطط Google لنظام أسماء النطاقات المشفر في Chrome و Android. كومكاست أعطى أعضاء الكونغرس a عرض الضغط التي ادعت أن خطة DNS المشفرة من شأنها "تمركز [ه] غالبية بيانات DNS العالمية مع Google" و "تمنح مزودًا واحدًا التحكم في توجيه حركة مرور الإنترنت وكميات هائلة من البيانات الجديدة حول المستهلكين والمنافسين." كما اشتكى عرض مجموعة الضغط الذي قدمته كومكاست من خطة موزيلا لمتصفح فايرفوكس.
Mozilla في نوفمبر اتهم مزودي خدمة الإنترنت بالكذب على الكونجرس من أجل نشر الارتباك حول DNS المشفر. موزيلا خطاب إلى الكونغرس وانتقد كومكاست ، مشيرًا إلى أن حادثة في عام 2014 حيث قامت Comcast "بحقن إعلانات للمستخدمين المتصلين بنقاط اتصال Wi-Fi العامة ، مما قد يؤدي إلى خلق ثغرات أمنية جديدة في مواقع الويب." صرحت Mozilla أنه بسبب حادثة Comcast وغيرها من حوادث Verizon و AT&T ، "نعتقد أن مثل هذه الإجراءات الاستباقية [لتنفيذ DNS المشفر] أصبحت ضرورية لحماية المستخدمين في ضوء السجل الشامل لإساءة استخدام مزود خدمة الإنترنت للبيانات الشخصية." كما أشارت موزيلا إلى افتقار البلاد لقواعد خصوصية النطاق العريض ، والتي كانت كذلك قتل من قبل الكونغرس في عام 2017 بناء على طلب مقدمي خدمات الإنترنت.
ولكن ، يبدو أن هذا أصبح الآن في الماضي ، مع اتفاقية موقعة بين الشركتين اعتبارًا من مارس ، وتوقع وصول DNS المشفر لشركة Comcast إلى Chrome قريبًا أيضًا.
AddTrust External CA انتهت صلاحية شهادة الجذر
• AddTrust External CA شهادة الجذر انتهت في مايو 30، 2020. على الرغم من أن معظم المستخدمين لن يتأثروا بانتهاء الصلاحية هذا ، إلا أنه لا يزال جديرًا بالملاحظة. تم إصدار بعض الشهادات في الماضي عن طريق سلسلة SSL.com إلى جذر USERTrust RSA CA من Sectigo عبر وسيط موقعة عبر جذر AddTrust. تم إجراء ذلك لضمان التوافق مع الأجهزة القديمة التي لا تتضمن جذر USERTrust.
لحسن الحظ ، الأجهزة التي do بما في ذلك جذر USERTrust ، الذي يمثل الغالبية العظمى ، لن يتأثر بانتهاء الصلاحية. في هذه الحالة ، وهو ما ينطبق على جميع المتصفحات وأنظمة التشغيل والأجهزة المحمولة الحديثة ، سيختار البرنامج ببساطة مسار ثقة يؤدي إلى USERTrust ويتجاهل شهادة AddTrust منتهية الصلاحية. لقد أوضحنا هذا كله في بداية الشهر ، لذلك إذا كنت تبحث عن مزيد من التفاصيل ، فقد ترغب في ذلك توجه إلى منشور المدونة الخاص بنا في 2 يونيو. للحفاظ على التوافق مع الأجهزة القديمة ، يمكن لمالكي مواقع الويب الذين لديهم شهادات SSL.com USERTrust تنزيل شهادات وسيطة وجذرية بديلة عبر الأزرار أدناه:
يعتمد المستخدمون على SSL الأقدم /TLS عملاء ، بما في ذلك OpenSSL 1.0.x و GnuTLS، يجب إزالة شهادة AddTrust منتهية الصلاحية من مخزن جذر نظام التشغيل. انظر لدينا بلوق وظيفة للحصول على روابط لإصلاحات Red Hat Linux و Ubuntu.
