Willkommen zu dieser Juni-Ausgabe der Sicherheitsübersicht von SSL.com. Der Sommer ist da, die Pandemie geht weiter, ebenso die Nachrichten über digitale Sicherheit! Diesen Monat werfen wir einen Blick auf:
- Senatoren stellen neuen "Backdoor" -Gesetz vor
- Die US-Regierung plant, HTTPS auf allen .gov-Websites zu verwenden
- Comcast und Mozilla Strike Firefox DoH Deal
- AddTrust External CA Abgelaufen am 30. Mai
Senat berücksichtigt Mandated Encryption Backdoors
Dieser ist eine Art Yikes-Y. Während ein Großteil des Landes erwägt, die Macht der Strafverfolgung einzuschränken, haben drei Senatoren eine eingeführt Drakonische Rechnung Dies wird Technologieunternehmen dazu zwingen, Verschlüsselungsschemata „Hintertüren“ zu erstellen, die es den Strafverfolgungsbehörden ermöglichen, auf Daten während des Transports und auf Geräten zuzugreifen. Als Vize-Magazin Hauptplatine prägnant in es setzen ihre Überschrift"Republikaner, die die Verschlüsselung nicht verstehen, führen Bill ein, um sie zu brechen."
Der Gesetzentwurf der Senatoren Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas) und Marsha Blackburn (R-Tennessee) wurde von der Technologiebranche, Bürgerrechtlern und vielen mit gesundem Menschenverstand umfassend und gründlich kritisiert. Als Thomas Claburns Artikel im Register erklärt:
Die Rechnung sieht vor, dass jedes Unternehmen, dem ein Haftbefehl vorgelegt wurde - „Gerätehersteller, Betriebssystemanbieter, Anbieter von Remote-Computing-Diensten oder eine andere Person“ - den Behörden hilft, „auf Informationen zuzugreifen, die auf einem elektronischen Gerät gespeichert sind, oder auf remote gespeicherte elektronische Informationen zuzugreifen. ”
Es gibt nicht an, wie mit Verschlüsselung umgegangen werden soll, sondern nur, dass sie rückgängig gemacht werden kann, wenn dies für die Behörden unpraktisch ist.
… Verschlüsselung, so sollte gesagt werden, verhindert auch eine Menge Kriminalität, indem sie Dinge wie Online-Bankkonten und das Surfen im Internet einigermaßen sicher hält. Mandatieren einer Hintertür, die mathematisch jeder konnte findenist vielleicht nicht der klügste Schachzug.
Leider ist dieser Versuch der Gesetzgebung nicht einmal besonders neu, sondern nur die jüngste träge Wiederholung eines Versuchs, die digitale Sicherheit zu umgehen, um den Powers That Be die Arbeit zu erleichtern.
Die US-Regierung plant die Verwendung von HTTPS auf allen .gov-Websites
In guten, verspäteten Nachrichten die US-Regierung hat angekündigt, Die Absicht, die Domäne ".gov" zur Preload-Liste für HTTP Strict Transport Security (HSTS) hinzuzufügen. Derzeit bieten einige Regierungsseiten weiterhin HTTP an, um sie für Benutzer zugänglich zu halten, mit der Absicht, den Punkt zu erreichen, an dem alle .gov-Webserver standardmäßig HTTPS verwenden.
Dies ist jedoch die Bundesregierung, und es ist wichtig zu beachten, dass nichts davon über Nacht stattfinden wird. Vielmehr arbeiten die USA daran, die .gov-Domain auf die HSTS-Preload-Liste zu setzen, was letztendlich der Fall sein wird Benutzer zur Kommunikation über HTTPS umleiten als Standard.
Aus die Regierungssprechert:
Beachten Sie, dass wir die Absicht ankündigen, die TLD vorzuladen, sie jedoch heute nicht vorladen. Wenn wir das tun würden, wären einige Regierungswebsites, die kein HTTPS anbieten, für Benutzer unzugänglich, und wir möchten die Dienste auf unserem Weg zu ihrer Verbesserung nicht negativ beeinflussen! Eigentlich ist das Vorladen ein einfacher Schritt, aber um dorthin zu gelangen, sind konzertierte Anstrengungen von Bundes-, Landes-, Kommunal- und Stammesregierungsorganisationen erforderlich, die eine gemeinsame Ressource nutzen, aber in diesem Bereich nicht oft zusammenarbeiten. Mit konzertierten Anstrengungen könnten wir vorladen. Regierung innerhalb einiger Jahre.
In der Zwischenzeit wird die Regierung laut derselben Ankündigung einzelne Standorte für den Übergang vorbereiten, Präsentationen und Hörsitzungen abhalten und alle automatisch vorladen neu .gov Domains ab September. Sie haben auch einen neuen Listendienst für Rückmeldungen von Regierungsbehörden zu den Herausforderungen erstellt, denen sie sich voraussichtlich stellen werden.
Comcast und Mozilla Strike Firefox DoH Deal
Comcast ist der erste Internetdienstanbieter, der dies tut Partner mit Mozilla um verschlüsselte DNS-Lookups in Firefox bereitzustellen. Der Deal zwischen den beiden Unternehmen kommt nach einem Streit über die Privatsphäre von ISPs und darüber, ob DNS über HTTPS den ISPs die Möglichkeit nimmt, Benutzer zu verfolgen und Dinge wie die Kindersicherung aufrechtzuerhalten.
Jon Brodkin in der Ars Technica , erklärt Dieser Comcast wird der erste ISP sein, der sich dem Trusted Recursive Resolver-Programm von Firefox anschließt und Cloudflare und NextDNS beitritt. Laut diesem Artikel muss das Programm „verschlüsselte DNS-Anbieter erfüllen Datenschutz- und Transparenzkriterien und verpflichten sich, Domains nicht standardmäßig zu blockieren oder zu filtern, "es sei denn, dies ist in der Gerichtsbarkeit, in der der Resolver tätig ist, ausdrücklich gesetzlich vorgeschrieben".
Zuvor waren sich die beiden Now-Partner nicht einig über DNS über HTTPS, was verhindert, dass Benutzer sehen, was DNS-Lookup-Browser machen, was die Überwachung durch ISPs ziemlich schwierig macht. Aus dem Artikel von Ars Technica:
Die Partnerschaft zwischen Comcast und Mozilla ist bemerkenswert, da ISPs Pläne zur Bereitstellung von DNS über HTTPS in Browsern bekämpft haben und Mozillas Arbeit an der Technologie weitgehend verhindern soll, dass ISPs das Surfen ihrer Benutzer überwachen. Im September 2019 schrieben Branchengruppen wie die NCTA-Kabellobby, zu der Comcast gehört, eine Brief zum Kongress Einwände gegen Googles Pläne für verschlüsseltes DNS in Chrome und Android. Comcast gab Mitglieder des Kongresses a Lobbying-Präsentation Der Plan für verschlüsseltes DNS würde "einen Großteil der weltweiten DNS-Daten mit Google zentralisieren" und "einem Anbieter die Kontrolle über das Routing des Internetverkehrs und große Mengen neuer Daten über Verbraucher und Wettbewerber geben". Comcasts Lobbying-Präsentation beschwerte sich auch über Mozillas Plan für Firefox.
Mozilla im November beschuldigte ISPs den Kongress anzulügen, um Verwirrung über verschlüsseltes DNS zu verbreiten. Mozillas Brief an den Kongress kritisierte Comcast und zeigte auf eine Vorfall im Jahr 2014 in dem Comcast "Anzeigen an Benutzer schaltete, die mit seinen öffentlichen WLAN-Hotspots verbunden sind, wodurch möglicherweise neue Sicherheitslücken in Websites entstehen". Mozilla sagte aufgrund des Comcast-Vorfalls und anderer Vorfälle mit Verizon und AT & T: "Wir glauben, dass solche proaktiven Maßnahmen [zur Implementierung von verschlüsseltem DNS] notwendig geworden sind, um Benutzer angesichts der umfangreichen Aufzeichnungen über den Missbrauch personenbezogener Daten durch ISPs zu schützen." Mozilla wies auch auf das Fehlen von Breitband-Datenschutzbestimmungen im Land hin vom Kongress getötet im Jahr 2017 auf Anfrage von ISPs.
Dies scheint jedoch in der Vergangenheit zu liegen, mit einer unterzeichneten Vereinbarung zwischen den beiden Unternehmen ab März und der Erwartung, dass das verschlüsselte DNS von Comcast bald auch in Chrome verfügbar sein wird.
AddTrust External CA Stammzertifikat ist abgelaufen
Das AddTrust External CA Stammzertifikat abgelaufen Mai 30, 2020. Obwohl die meisten Benutzer von diesem Ablauf nicht betroffen sind, ist er dennoch bemerkenswert. Einige Zertifikate, die in der Vergangenheit von der SSL.com-Kette über ein vom AddTrust-Stamm signiertes Zwischenprodukt an das USERTrust RSA CA-Stammverzeichnis von Sectigo ausgestellt wurden. Dies wurde durchgeführt, um die Kompatibilität mit älteren Geräten sicherzustellen, die das USERTrust-Stammverzeichnis nicht enthalten.
Zum Glück Geräte, die do Die USERTrust-Wurzel, die die überwiegende Mehrheit darstellt, wird vom Ablauf nicht betroffen sein. In diesem Fall, der für alle modernen Browser, Betriebssysteme und Mobilgeräte gilt, wählt die Software einfach einen Vertrauenspfad, der zu USERTrust führt, und ignoriert das abgelaufene AddTrust-Zertifikat. Wir haben dies alles zu Beginn des Monats erklärt. Wenn Sie also nach weiteren Details suchen, möchten Sie vielleicht Besuchen Sie unseren Blog-Beitrag vom 2. Juni. Um die Kompatibilität mit älteren Geräten zu gewährleisten, können Websitebesitzer mit USERTrust-Zertifikaten von SSL.com über die folgenden Schaltflächen Ersatz-Zwischen- und Stammzertifikate herunterladen:
INDIVIDUELLE ZERTIFIKATE HERUNTERLADEN
BUNDLED-ZERTIFIKATE HERUNTERLADEN
Benutzer, die sich auf älteres SSL / verlassenTLS Clients, einschließlich OpenSSL 1.0.x und GnuTLSsollte das abgelaufene AddTrust-Zertifikat aus dem Betriebssystem-Stammspeicher entfernen. Sehen Sie unsere Blog-Post für Links zu Fixes für Red Hat Linux und Ubuntu.
