Vítejte v tomto červnovém vydání přehledu zabezpečení SSL.com. Léto je tady, pandemie pokračuje, stejně jako zprávy o digitální bezpečnosti! Tento měsíc se podíváme na:
- Senátoři představí nový účet „Backdoor“
- Vláda USA plánuje používat HTTPS na všech webových stránkách .gov
- Comcast a Mozilla Strike Firefox DoH Deal
- AddTrust External CA Platnost vypršela 30. května
Senát zváží povinné šifrování zadních dveří
Tohle je druh yikes-y. Zatímco mnoho zemí zvažuje zmenšení moci donucovacích orgánů, tři senátoři zavedli Drakonický účet to přinutí technologické společnosti k vytvoření šifrovacího schématu „backdoor“, které umožní donucovacím orgánům přístup k datům v tranzitu a na zařízeních Jako Vice Magazine Základní deska stručně řečeno jejich titulek„Republikáni, kteří nerozumí šifrování, představí Billa, aby jej porušil.“
Návrh zákona od senátorů Lindsey Grahama (R-Jižní Karolína), Toma Cottona (R-Arkansas) a Marshy Blackburna (R-Tennessee) byl široce a důkladně kritizován technologickým průmyslem, obhájci občanských práv a mnoha zdravým rozumem. Jako Thomas Claburn článek v Registru vysvětluje:
Návrh zákona vyžaduje, aby každá společnost s oprávněním - „výrobce zařízení, poskytovatel operačního systému, poskytovatel vzdálené výpočetní služby nebo jiná osoba“ - pomáhala orgánům „přistupovat k informacím uloženým v elektronickém zařízení nebo přistupovat ke vzdáleně uloženým elektronickým informacím. “
Nespecifikuje, jak by mělo být šifrování zacházeno, jen to by mělo být nevratné, když je to nepohodlné pro úřady ...
… Šifrování, mělo by se říci, také brání spravedlivému množství trestné činnosti tím, že udržuje věci, jako jsou online bankovní účty a procházení webu, dostatečně zabezpečené. Povinná zadní vrátka, která matematicky kdokoli mohl najít, nemusí být nejmoudřejší tah.
Je smutné, že tento pokus o legislativu není ani zvlášť nový, je to jen poslední líná iterace pokusu obejít digitální zabezpečení, aby věci byly mocnější.
Vládní plány USA používat HTTPS na všech webových stránkách .gov
Dobrá, opožděná zpráva, vláda USA oznámila jeho záměr přidat doménu „.gov“ do seznamu předběžného načtení HTTP Strict Transport Security (HSTS). Prozatím budou některé vládní weby nadále nabízet HTTP, aby je udržovaly přístupné uživatelům, s cílem dosáhnout bodu, kdy všechny webové servery .gov budou standardně používat HTTPS.
Ale je to federální vláda a je důležité si uvědomit, že k ničemu z toho nedojde přes noc. USA se spíše snaží o to, aby doména .gov byla na seznamu předpětí HSTS, což nakonec skončí přesměrovat uživatele na komunikaci přes HTTPS jako výchozí.
od vláda oznámilat:
Upozorňujeme, že oznamujeme záměr předběžně načíst TLD, ale ve skutečnosti to předběžně nenačteme dnes. Pokud bychom tak učinili, některé vládní weby, které nenabízejí HTTPS, by se pro uživatele staly nepřístupnými a nechceme negativně ovlivňovat služby na cestě k jejich vylepšování! Vlastní předběžné načítání je jednoduchý krok, ale dostat se tam bude vyžadovat společné úsilí mezi federálními, státními, místními a kmenovými vládními organizacemi, které používají společný zdroj, ale často v této oblasti často nespolupracují ... Se společným úsilím bychom mohli předběžně načíst. gov během několika let.
Mezitím bude vláda podle stejného oznámení připravovat jednotlivá místa pro přechod, pořádat prezentace a poslechové relace a automaticky předběžně načítat všechny nový Domény .gov začínající v září. Vytvořili také novou seznamovou službu pro zpětnou vazbu od vládních agentur o výzvách, které očekávají.
Comcast a Mozilla Strike Firefox DoH Deal
Comcast je prvním poskytovatelem internetových služeb partner s Mozillou poskytovat šifrované vyhledávání DNS ve Firefoxu. Obchod mezi oběma společnostmi přichází po sporu přes soukromí poskytovatele služeb Internetu a zda služba DNS over HTTPS nebere možnost poskytovatelům internetových služeb sledovat uživatele a udržovat věci, jako je rodičovská kontrola.
Jon Brodkin v Ars Technica vysvětluje že Comcast bude prvním poskytovatelem internetových služeb, který se připojí k programu Trusted Recursive Resolver od společnosti Firefox a připojí se k cloudflare a NextDNS. Program podle tohoto článku „vyžaduje, aby se setkali poskytovatelé šifrovaných DNS kritéria ochrany soukromí a transparentnosti a zavázat se, že ve výchozím nastavení neblokujete ani nefiltrujete domény „pokud to zákon výslovně nevyžaduje v jurisdikci, ve které resolver působí“. “
Dříve se oba nyní partneři neshodli ohledně DNS přes HTTPS, což lidem brání vidět, co prohlížeče vyhledávání DNS dělají, což monitorování ISP značně ztížilo. Z článku Ars Technica:
Partnerství Comcast / Mozilla je pozoruhodné, protože poskytovatelé internetových služeb bojovali proti plánům nasazení DNS přes HTTPS v prohlížečích a práce společnosti Mozilla na této technologii má do značné míry zabránit poskytovatelům internetových služeb v snoopingu při procházení jejich uživatelů. V září 2019 napsaly průmyslové skupiny včetně kabelové lobby NCTA, do které Comcast patří dopis na kongres námitky proti plánům Google pro šifrované DNS v Chromu a Androidu. Comcast dal členům kongresu a lobbyingová prezentace který tvrdil, že plán šifrovaného DNS „centralizuje [většinu] celosvětových údajů DNS se společností Google“ a „dá jednomu poskytovateli kontrolu nad směrováním internetového provozu a obrovským množstvím nových údajů o spotřebitelích a konkurentech.“ Lobingová prezentace Comcastu si také stěžovala na plán Mozilly pro Firefox.
Mozilla v listopadu obvinění ISP lhaní Kongresu, aby se šířil zmatek ohledně šifrovaného DNS. Mozilla dopis do Kongresu kritizoval Comcast a ukázal na incident v roce 2014 ve kterém Comcast „vložil reklamy uživatelům připojeným k veřejným hotspotům Wi-Fi a potenciálně tak vytvořil nové chyby zabezpečení na webech.“ Mozilla uvedla, že kvůli incidentu Comcast a dalším účastníkům společností Verizon a AT&T „věříme, že taková proaktivní opatření [k implementaci šifrovaného DNS] jsou nezbytná k ochraně uživatelů ve světle rozsáhlých záznamů o zneužití osobních údajů ISP.“ Mozilla také poukázala na nedostatek pravidel ochrany soukromí v širokopásmovém připojení, která byla zabit Kongresem v roce 2017 na žádost poskytovatelů internetových služeb.
Zdá se však, že nyní je v minulosti, s podepsanou dohodou mezi oběma společnostmi od března a očekáváním, že zašifrovaná DNS společnosti Comcast přijde do Chromu také brzy.
AddTrust External CA Kořenový certifikát vypršel
Projekt AddTrust External CA kořenový certifikát vypršela květen 30, 2020. Ačkoli většina uživatelů nebude tímto vypršením ovlivněna, je stále pozoruhodná. Některé certifikáty vydané v minulosti řetězem SSL.com ke kořeni USERTrust RSA CA společnosti Sectigo prostřednictvím zprostředkovaného křížku podepsaného kořenem AddTrust. To bylo provedeno s cílem zajistit kompatibilitu se staršími zařízeními, která neobsahují kořen USERTrust.
Naštěstí to zařízení do zahrnout kořen USERTrust, což je drtivá většina, nebude vypršením platnosti ovlivněn. V takovém případě, který bude platit pro všechny moderní prohlížeče, operační systémy a mobilní zařízení, software jednoduše zvolí cestu důvěryhodnosti vedoucí k USERTrust a ignoruje prošlý certifikát AddTrust. Vysvětlili jsme to všechno na začátku měsíce, takže pokud hledáte další podrobnosti, možná budete chtít přejděte na náš blogový příspěvek z 2. června. Aby byla zachována kompatibilita se staršími zařízeními, mohou vlastníci webových stránek s SSL.com certifikáty USERT Trust stáhnout náhradní zprostředkující a kořenové certifikáty pomocí tlačítek níže:
STAŽENÍ JEDNOTLIVÝCH CERTIFIKÁTŮ
Uživatelé spoléhající na starší SSL /TLS klienty, včetně OpenSSL 1.0.x a GnuTLS, by měl odebrat platnost certifikátu AddTrust ze svého kořenového úložiště operačního systému. Podívejte se na naše blogu pro odkazy na opravy pro Red Hat Linux a Ubuntu.
