Sicherheitsübersicht vom November 2020

Die Feiertage sind irgendwie da, ebenso wie der SSL.com-Newsletter vom November. In diesem Jahr scheint die Urlaubsvorbereitung überwältigender denn je. Es scheint sogar so, als wäre es zu entmutigend, den Überblick über Ihre Internet-Sicherheit zu behalten. Wir sind hier, um Ihnen zu sagen, dass diese Art des Denkens Unsinn ist - schauen Sie sich nur all die Dinge an, die letzten Monat passiert sind!

SSL.com unterstützt das ACME-Protokoll

ACME-Logo

Am 13. November SSL.com angekündigt Unterstützung für das ACME-Protokoll. Jetzt können unsere Kunden dieses beliebte SSL / problemlos nutzen.TLS Automatisierungstool.

Ursprünglich entwickelte die Internet Security Research Group und veröffentlichte als Internetstandard in RFC 8555, ACME vereinfacht die Erneuerung und den Austausch von SSL /TLS Zertifikate. Dies erleichtert es Website-Eigentümern, über Zertifikate auf ihren Websites auf dem Laufenden zu bleiben.

Weitere Informationen zu den Vorteilen der ACME-Implementierung von SSL.com finden Sie in unserem Blog-Post Ankündigung des Starts. Wenn Sie bereit sind, schauen Sie sich unsere an Guide zur Ausstellung und zum Widerruf von Zertifikaten bei ACME und unseren How-to zur ACME-Automatisierung für die Apache- und Nginx-Serverplattformen.

Das Mitnehmen von SSL.com: Wir freuen uns, unseren Kunden dieses beliebte Protokoll anbieten zu können, und hoffen, dass Sie es bald ausprobieren können!

Kongress genehmigt IoT Cybersecurity Bill

Vom US-Kongress am 17. November 2020 verabschiedet und zur Unterschrift des Präsidenten ins Weiße Haus geschickt Gesetz zur Verbesserung der Cybersicherheit im Internet der Dinge "Das National Institute of Standards and Technology (NIST) und das Office of Management and Budget (OMB) müssen bestimmte Schritte unternehmen, um die Cybersicherheit für Internet of Things (IoT) -Geräte zu erhöhen."

In ein Artikel über BedrohungsbeitragLindsey O'Donnell erklärt, dass die Bundesmaßnahme dazu dient, die Sicherheits- und Datenschutzprobleme zu lösen, die IoT-Geräte seit langem beschäftigen, und dies auf eine Weise, die den bestehenden Industriestandards und Best Practices entspricht. Sie schreibt:

Das IoT Cybersecurity Improvement Act besteht aus verschiedenen Teilen. Erstens schreibt es vor, dass (Nationales Institut für Standards und Technologie) auf Standards basierende Richtlinien für die Mindestsicherheit von IoT-Geräten herausgeben muss, die Eigentum der Bundesregierung sind. Das Amt für Verwaltung und Haushalt (OMB) muss auch Anforderungen an zivile Bundesbehörden umsetzen, um Richtlinien zur Informationssicherheit zu haben, die diesen NIST-Richtlinien entsprechen.
Nach dem Gesetz müssen Bundesbehörden auch eine Richtlinie zur Offenlegung von Sicherheitslücken für IoT-Geräte implementieren und können keine Geräte beschaffen, die nicht den Sicherheitsrichtlinien entsprechen.

O'Donnell berichtet weiter, dass die Bemühungen zur Regulierung des Internet der Dinge weiterhin eine weltweite Anstrengung sind. Die Sicherheitsempfehlungen der Agentur der Europäischen Union für Netzwerk- und Informationssicherheit und das Vereinigte Königreich versprechen, Anforderungen für Passwörter und Sicherheitsupdates zu erlassen.

Das Mitnehmen von SSL.com: Angesichts der vielen jüngsten Sicherheitsprobleme mit „intelligenten“ Geräten und ihrer raschen Verbreitung auf dem Markt freuen wir uns, dass der US-Kongress einen Schritt in die richtige Richtung unternimmt, um IoT-Sicherheitsstandards und Best Practices für die Bundesregierung festzulegen.

Nur HTTPS-Modus in Firefox 83

Mozillas Firefox 83, veröffentlicht am 17. November, bietet Benutzern eine Nur HTTPS-Modus. Durch Aktivieren sucht der Browser automatisch nach HTTPS-Verbindungen und bittet um Erlaubnis, bevor er zu einer Site wechselt, die keine sicheren Verbindungen unterstützt. Wie Mozillas Blog-Post erinnert uns daran, dass das reguläre HTTP-Protokoll für diejenigen sichtbar ist, die Daten stehlen oder manipulieren möchten. HTTP vorbei TLS, oder HTTPSbehebt das Problem, indem eine verschlüsselte Verbindung zwischen Ihrem Browser und der von Ihnen besuchten Website hergestellt wird, die potenzielle Angreifer nicht lesen können. 

Obwohl die meisten Websites heutzutage HTTPS unterstützen, sind einige Websites immer noch auf HTTP angewiesen. Manchmal ist eine unsichere HTTP-Version einer Website diejenige, die in Ihren Lesezeichen gespeichert ist oder über ältere Links erreicht wird. Sie kann die Standardeinstellung ohne die Hilfe eines Browsers sein, der sichere HTTPS-Verbindungen priorisiert.

Wie der Mozilla-Blog , erklärtDas Einschalten des neuen Modus ist jetzt ganz einfach:

Wenn Sie diese neue sicherheitsverbessernde Funktion ausprobieren möchten, ist die Aktivierung des Nur-HTTPS-Modus ganz einfach:

  1. Klicken Sie auf die Menüschaltfläche von Firefox und wählen Sie "Einstellungen".
  2. Wählen Sie "Datenschutz & Sicherheit" und scrollen Sie nach unten zum Abschnitt "Nur HTTPS-Modus".
  3. Wählen Sie "Nur HTTPS-Modus in allen Fenstern aktivieren".
Das Mitnehmen von SSL.com: Wir denken, alles, Die Website sollte nur HTTPS sein. Bis zu diesem Zeitpunkt ist der Nur-HTTPS-Modus eine einfache Möglichkeit für Firefox-Benutzer, sicherzustellen, dass sie nach Möglichkeit HTTPS verwenden.

Die Bearbeitung von OCSP-Anfragen durch Apple wirft Bedenken hinsichtlich der Privatsphäre auf

In diesem Monat haben einige Leute Alarm über Big Sur geschlagen, nachdem Serverprobleme ergeben hatten, dass Apple eine Menge über seine Benutzer verfolgt und enthüllt, wenn sie den signierten Anwendungscode überprüfen. Im Wesentlichen sendete der Zertifikatprüfcode den „digitalen Fingerabdruck“ eines Entwicklers über HTTP im Klartext, wenn eine Anwendung gestartet wurde. Was bedeutet das? Thomas Claburn von Das Register drückt es kurz und bündig aus: "Apple und jeder, der den Netzwerkpfad abhört, kann Sie zumindest über Ihre öffentliche IP-Adresse mit den von Ihnen verwendeten Anwendungen verknüpfen."

Nach der Veröffentlichung dieser Informationen versprach Apple, keine IP-Adressen mehr zu protokollieren. Auch von Das Register Artikel:

Um den Datenschutz weiter zu schützen, haben wir die Protokollierung von IP-Adressen im Zusammenhang mit der Überprüfung von Entwickler-ID-Zertifikaten eingestellt und stellen sicher, dass alle gesammelten IP-Adressen aus den Protokollen entfernt werden “, sagte Apple.

Der Silicon Valley-Titan plant außerdem die Implementierung eines verschlüsselten Protokolls für die Überprüfung des Widerrufs von Entwickler-ID-Zertifikaten, Maßnahmen zur Erhöhung der Ausfallsicherheit seiner Server und die Bereitstellung eines Opt-out-Mechanismus für Benutzer. Dem Register ist bekannt, dass die Zertifikatsprüfungen von Apple kryptografisch signiert sind, sodass sie während des Transports nicht ohne Erkennung manipuliert werden können, obwohl sie beobachtet werden können. Daher wird Apple diesen Kommunikationskanal jetzt verschlüsseln, um ihn vor neugierigen Blicken zu schützen.

Darüber hinaus hat Apple nicht mehr zugelassen, dass Apps von Drittanbietern wie Firewalls und VPNs den Datenverkehr von eigenen Apps und Betriebssystemprozessen zu Apples Servern in Big Sur blockieren oder überwachen. Dies ist ein Problem für diejenigen, die ihren Netzwerkverkehr umfassend analysieren oder einfach nicht möchten, dass ihr Verkehr zu Apple-Servern geleitet wird.

Obwohl der Register-Artikel einen feierlichen Ton annimmt, ist er ziemlich gemessen. Für eine leidenschaftlichere Interpretation am Ende der Tage bricht Jeffery Paul auch die Auswirkungen auf die Sicherheit auf auf seinem Blog.

Das Mitnehmen von SSL.com: Bei dem Versuch, seine eigenen Benutzer vor Malware zu schützen, hat Apple möglicherweise ihre Privatsphäre übermäßig gefährdet. Wir sind der Meinung, dass die von Ihnen ausgeführte Software und die Verbindung zu Ihrem Computer Ihr eigenes Unternehmen sein sollten, und hoffen, dass Apple wirksame Schritte unternimmt, um diese Kontrolle an die Benutzer zurückzugeben.

 

Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.