Velkommen til denne juni-udgave af SSL.com's Security Roundup. Sommeren er her, pandemien fortsætter, og det samme gør nyhederne om digital sikkerhed! Denne måned ser vi på:
- Senatorer introducerer en ny "bagdør" -regning
- Den amerikanske regering planlægger at bruge HTTPS på alle .gov-websteder
- Comcast og Mozilla Strike Firefox DoH Deal
- AddTrust External CA Udløb den 30. maj
Senatet at overveje manderede kryptering bagdøre
Denne er slags yikes-y. Mens mange af landet overvejer at nedskalere magten med retshåndhævelse, har tre senatorer indført en Drakonisk regning der vil tvinge tech-virksomheder til at oprette krypteringsplan "bagdøre", der giver lovhåndhævelse adgang til data under transit og på enheder. Som vicemagasin Bundkort sæt den kort sammen deres overskrift, "Republikanere, der ikke forstår kryptering, introducerer regning for at bryde den."
Lovforslaget fra senatorer Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas) og Marsha Blackburn (R-Tennessee) er blevet bredt og grundigt kritiseret af tech-industrien, borgerrettighedsforkæmpere og mange med sund fornuft. Som Thomas Claburn's artikel i registeret forklarer:
Regningen kræver, at enhver virksomhed, der præsenteres for en garanti - "enhedsproducent, en operativsystemudbyder, en udbyder af fjerncomputertjeneste eller en anden person" - til at hjælpe myndighederne med at "få adgang til oplysninger, der er gemt på en elektronisk enhed eller få adgang til eksternt lagret elektronisk information. ”
Det specificerer ikke, hvordan kryptering skal håndteres, bare at det skal fortrydes, når det er ubelejligt for myndighederne ...
… Kryptering, skal det siges, forhindrer også en hel del kriminalitet ved at holde ting som online bankkonti og browsing rimeligt sikkert. Mandat til en bagdør, som matematisk nogen kunne finde, er måske ikke det klogeste træk.
Desværre er dette forsøg på lovgivning ikke engang særlig nyt, men bare den seneste lateste iteration af et forsøg på at omgå digital sikkerhed for at gøre tingene lettere for Powers That Be.
Amerikanske regerings planer om at bruge HTTPS på alle .gov-websteder
I gode, forsinkede nyheder, den amerikanske regering har annonceret dets hensigt at tilføje “.gov” -domænet til HTTP Strict Transport Security (HSTS) forudlæsseliste. På nuværende tidspunkt vil nogle regeringssider fortsætte med at tilbyde HTTP for at holde dem tilgængelige for brugere med den hensigt at nå det punkt, hvor alle .gov-webservere som standard bruger HTTPS.
Men dette er den føderale regering, og det er vigtigt at bemærke, at intet af dette vil finde sted natten over. I stedet arbejder USA for at sætte .gov-domænet på HSTS-forhåndsindlæsningslisten, hvilket til sidst vil omdirigere brugere til at kommunikere via HTTPS som standard.
Fra regeringen annoncerert:
Bemærk, at vi annoncerer en hensigt om at indlæse TLD'en for tidligt, men ikke faktisk indlæse den i dag. Hvis vi gjorde det, ville nogle offentlige websteder, der ikke tilbyder HTTPS, være utilgængelige for brugere, og vi ønsker ikke at have negativ indflydelse på tjenester på vores måde at forbedre dem på! Faktisk forhåndsindlæsning er et simpelt skridt, men at komme dertil vil kræve samordnet indsats blandt de føderale, statslige, lokale og stammeforvaltningsorganisationer, der bruger en fælles ressource, men ikke ofte arbejder sammen i dette område ... Med en samlet indsats kunne vi forhåndsindlæse. gov inden for et par år.
I mellemtiden vil regeringen ifølge den samme meddelelse forberede individuelle steder til overgangen, holde præsentationer og lytte sessioner og automatisk forhåndsindlæse alle ny .gov-domæner, der begynder i september. De har også oprettet en ny listserv for feedback fra regeringsagenturer om udfordringer, de forventer at stå overfor.
Comcast og Mozilla Strike Firefox DoH Deal
Comcast er den første internetudbyder til samarbejder med Mozilla at levere krypterede DNS-opslag i Firefox. Handlen mellem de to virksomheder kommer efter en tvist over ISP-privatlivets fred og om DNS via HTTPS fjerner ISP'ers evne til at spore brugere og vedligeholde ting som forældrekontrol.
Jon Brodkin i Ars Technica forklarer at Comcast vil være den første internetudbyder, der tilmelder sig Firefoxs Trusted Recursive Resolver-program, der tilslutter sig Cloudflare og NextDNS. Programmet kræver ifølge denne artikel "krypterede DNS-udbydere for at mødes kriterier for beskyttelse af personlige oplysninger og gennemsigtighed og lover ikke at blokere eller filtrere domæner som standard 'medmindre det specifikt kræves af lovgivningen i den jurisdiktion, hvor resolveren opererer'. ”
Tidligere var de to nu-partnere uenige om DNS over HTTPS, hvilket forhindrer folk i at se, hvad DNS-opslag-browsere laver, hvilket gør ISP'ers overvågning temmelig vanskelig. Fra Ars Technica-artiklen:
Comcast / Mozilla-partnerskabet er bemærkelsesværdigt, fordi internetudbydere har kæmpet med planerne om at implementere DNS over HTTPS i browsere, og Mozillas arbejde med teknologien i høj grad har til formål at forhindre internetudbydere i at snuse på deres brugeres browsing. I september 2019 skrev branchegrupper, herunder NCTA-kabellobbyen, som Comcast tilhører, a brev til Kongressen modsætter sig Googles planer til krypteret DNS i Chrome og Android. Comcast gav medlemmer af Kongressen a lobbypræsentation der hævdede, at den krypterede DNS-plan ville "centralisere [e] et flertal af verdensomspændende DNS-data med Google" og "give en udbyder kontrol over routing af internettrafik og store mængder nye data om forbrugere og konkurrenter." Comcasts lobbypræsentation klagede også over Mozillas plan for Firefox.
Mozilla i november anklagede internetudbydere at lyve over for kongressen for at sprede forvirring om krypteret DNS. Mozilla's brev til kongressen kritiserede Comcast og pegede på et hændelse i 2014 hvor Comcast "injicerede annoncer til brugere, der er forbundet med dets offentlige Wi-Fi-hotspots, hvilket potentielt skaber nye sikkerhedssårbarheder på websteder." Mozilla sagde, at på grund af Comcast-hændelsen og andre involverende med Verizon og AT&T, "Vi mener, at sådanne proaktive foranstaltninger [til at implementere krypteret DNS] er blevet nødvendige for at beskytte brugerne i lyset af den omfattende registrering af ISP-misbrug af personlige data." Mozilla påpegede også landets mangel på regler om beskyttelse af privatlivets fred for bredbånd dræbt af Kongressen i 2017 efter anmodning fra internetudbydere.
Men det ser ud til at være i fortiden med en underskrevet aftale mellem de to virksomheder fra marts og en forventning om, at Comcast's krypterede DNS også snart kommer til Chrome.
AddTrust External CA Rodcertifikatet er udløbet
AddTrust External CA root certifikat udløbet d. maj 30, 2020. Selvom de fleste brugere ikke vil blive påvirket af denne udløb, er det stadig bemærkelsesværdigt. Nogle certifikater, der tidligere er udstedt af SSL.com-kæden til Sectigos USERTrust RSA CA-rod via et mellemliggende krydssigneret af AddTrust-roden. Dette blev gjort for at sikre kompatibilitet med ældre enheder, der ikke inkluderer USERTrust-roden.
Heldigvis enheder der do inkluderer USERTrust-roden, som er langt de fleste, vil ikke blive påvirket af udløbet. I så fald, hvilket vil være tilfældet for alle moderne browsere, operativsystemer og mobile enheder, vælger softwaren simpelthen en tillidssti, der fører til USERTrust og ignorerer det udløbne AddTrust-certifikat. Vi forklarede alt dette i begyndelsen af måneden, så hvis du leder efter flere detaljer, vil du måske gå over til vores 2. juni-blogindlæg. For at opretholde kompatibilitet med ældre enheder kan webstedsejere med SSL.com USERTrust-certifikater downloade udskiftning af mellemliggende og rodcertifikater via nedenstående knapper:
HENT INDIVIDUELLE CERTIFIKATER
Brugere, der stoler på ældre SSL /TLS klienter, herunder OpenSSL 1.0.x og GnuTLS, skal fjerne det udløbne AddTrust-certifikat fra deres OS-rodlager. Se vores blogindlæg for links til rettelser til Red Hat Linux og Ubuntu.
