Καλώς ήλθατε σε αυτήν την έκδοση Ιουνίου του Roundup ασφαλείας SSL.com. Το καλοκαίρι είναι εδώ, η πανδημία συνεχίζεται, όπως και τα νέα σχετικά με την ψηφιακή ασφάλεια! Αυτό το μήνα θα ρίξουμε μια ματιά στα:
- Οι γερουσιαστές παρουσιάζουν νέο νομοσχέδιο «Backdoor»
- Η κυβέρνηση των ΗΠΑ σχεδιάζει να χρησιμοποιήσει HTTPS σε όλους τους ιστότοπους .gov
- Comcast και Mozilla Strike Firefox DoH Deal
- AddTrust External CA Έληξε στις 30 Μαΐου
Γερουσία για να εξετάσει την υποχρεωτική κρυπτογράφηση σε εξωτερικούς χώρους
Αυτό είναι ένα είδος yikes-y. Ενώ πολλές χώρες σκέφτονται να μειώσουν τη δύναμη της επιβολής του νόμου, τρεις γερουσιαστές έχουν εισαγάγει ένα Δρακόνιος λογαριασμός που θα αναγκάσει τις τεχνολογικές εταιρείες να δημιουργήσουν ένα σύστημα κρυπτογράφησης "backdoors" που θα επιτρέψει στις αρχές επιβολής του νόμου να έχουν πρόσβαση σε δεδομένα κατά τη μεταφορά και σε συσκευές. Ως Vice Magazine's Motherboard συνοπτικά βάλτε το ο τίτλος τους«Οι Ρεπουμπλικάνοι που δεν καταλαβαίνουν την κρυπτογράφηση εισάγουν τον Bill για να το σπάσουν»
Το νομοσχέδιο από τους γερουσιαστές Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas) και Marsha Blackburn (R-Tennessee) έχει επικριθεί ευρέως και διεξοδικά από τη βιομηχανία τεχνολογίας, τους υπερασπιστές των πολιτικών δικαιωμάτων και πολλούς με κοινή λογική. Όπως ο Τόμας Κλάμπερν άρθρο στο The Register εξηγεί:
Ο λογαριασμός απαιτεί από κάθε εταιρία να παρουσιάζεται με ένταλμα - «κατασκευαστής συσκευών, πάροχος λειτουργικού συστήματος, πάροχος απομακρυσμένης πληροφορικής ή άλλο άτομο» - για να βοηθήσει τις αρχές «να αποκτήσουν πρόσβαση σε πληροφορίες που είναι αποθηκευμένες σε μια ηλεκτρονική συσκευή ή να έχουν πρόσβαση σε ηλεκτρονικές πληροφορίες που είναι αποθηκευμένες από απόσταση. "
Δεν διευκρινίζει πώς πρέπει να αντιμετωπιστεί η κρυπτογράφηση, απλώς ότι πρέπει να είναι αναίρεση όταν είναι ενοχλητικό για τις αρχές…
… Η κρυπτογράφηση, πρέπει να ειπωθεί, αποτρέπει επίσης ένα δίκαιο έγκλημα διατηρώντας πράγματα όπως οι διαδικτυακοί τραπεζικοί λογαριασμοί και η περιήγηση στο διαδίκτυο αρκετά ασφαλή. Υποχρεωτική πόρτα, η οποία μαθηματικά καθένας θα μπορούσε να βρει, ίσως να μην είναι η σοφότερη κίνηση.
Δυστυχώς, αυτή η απόπειρα νομοθεσίας δεν είναι ακόμη καινούργια, απλώς η τελευταία τεμπέλης επανάληψη μιας προσπάθειας παράκαμψης της ψηφιακής ασφάλειας για να διευκολυνθούν τα πράγματα για τις δυνάμεις που είναι.
Η κυβέρνηση των ΗΠΑ σκοπεύει να χρησιμοποιήσει HTTPS σε όλους τους ιστότοπους .gov
Σε καλά, καθυστερημένα νέα, η κυβέρνηση των ΗΠΑ ανακοίνωσε την πρόθεσή του να προσθέσει τον τομέα ".gov" στη λίστα προφόρτωσης HTTP Strict Transport Security (HSTS). Προς το παρόν, ορισμένοι κυβερνητικοί ιστότοποι θα συνεχίσουν να προσφέρουν HTTP ώστε να είναι προσβάσιμοι στους χρήστες, με σκοπό να φτάσουν στο σημείο όπου όλοι οι διακομιστές ιστού .gov θα χρησιμοποιούν HTTPS από προεπιλογή.
Όμως, αυτή είναι η ομοσπονδιακή κυβέρνηση και είναι σημαντικό να σημειωθεί ότι κανένα από αυτά δεν θα πραγματοποιηθεί εν μία νυκτί. Αντίθετα, οι ΗΠΑ εργάζονται για την τοποθέτηση του τομέα .gov στη λίστα προφόρτωσης HSTS, η οποία τελικά ανακατευθύνετε τους χρήστες να επικοινωνούν μέσω HTTPS ως προεπιλογή.
Από οι κυβερνητικοί ανακοινωτέςt:
Λάβετε υπόψη ότι ανακοινώνουμε την πρόθεση να προφορτώσετε το TLD, αλλά δεν το προφορτώσουμε πραγματικά σήμερα. Εάν το κάναμε αυτό, ορισμένοι κυβερνητικοί ιστότοποι που δεν προσφέρουν HTTPS θα γίνουν απρόσιτοι στους χρήστες και δεν θέλουμε να επηρεάσουμε αρνητικά τις υπηρεσίες στον τρόπο βελτίωσής τους! Στην πραγματικότητα η προφόρτιση είναι ένα απλό βήμα, αλλά για να φτάσετε εκεί απαιτείται συντονισμένη προσπάθεια μεταξύ των ομοσπονδιακών, πολιτειακών, τοπικών και φυλετικών κυβερνητικών οργανισμών που χρησιμοποιούν έναν κοινό πόρο, αλλά δεν συνεργάζονται συχνά σε αυτόν τον τομέα ... Με συντονισμένη προσπάθεια, θα μπορούσαμε να προφορτώσουμε. κυβέρνηση μέσα σε λίγα χρόνια.
Εν τω μεταξύ, σύμφωνα με την ίδια ανακοίνωση, η κυβέρνηση θα προετοιμάσει μεμονωμένους ιστότοπους για τη μετάβαση, θα πραγματοποιήσει παρουσιάσεις και ακρόαση, και θα προφορτώσει αυτόματα όλα νέος τομείς .gov από τον Σεπτέμβριο. Δημιούργησαν επίσης μια νέα λίστα για ανατροφοδότηση από κυβερνητικές υπηρεσίες σχετικά με τις προκλήσεις που αναμένουν να αντιμετωπίσουν.
Comcast και Mozilla Strike Firefox DoH Deal
Η Comcast είναι ο πρώτος πάροχος υπηρεσιών Διαδικτύου συνεργαστείτε με τη Mozilla για την παροχή κρυπτογραφημένων αναζητήσεων DNS στον Firefox. Έρχεται η συμφωνία μεταξύ των δύο εταιρειών μετά από μια διαφωνία πέρα από το απόρρητο του ISP και εάν το DNS μέσω HTTPS αφαιρεί τη δυνατότητα των ISP να παρακολουθούν τους χρήστες και να διατηρούν πράγματα όπως οι γονικοί έλεγχοι.
Ο Jon Brodkin στην Ars Technica εξηγεί ότι η Comcast θα είναι ο πρώτος ISP που θα συμμετάσχει στο πρόγραμμα Trusted Recursive Resolver του Firefox, συμμετέχοντας στο Cloudflare και το NextDNS. Το πρόγραμμα, σύμφωνα με αυτό το άρθρο, «απαιτεί την κάλυψη κρυπτογραφημένων παρόχων DNS κριτήρια απορρήτου και διαφάνειας και δεσμεύεστε να μην αποκλείσετε ή να φιλτράρετε τους τομείς από προεπιλογή «εκτός αν απαιτείται συγκεκριμένα από το νόμο στη δικαιοδοσία στην οποία λειτουργεί το πρόγραμμα επίλυσης». "
Προηγουμένως, οι δύο τώρα συνεργάτες διαφωνούσαν για το DNS μέσω του HTTPS, το οποίο εμποδίζει τους ανθρώπους να δουν τι κάνουν τα προγράμματα περιήγησης αναζήτησης DNS, καθιστώντας δύσκολη την παρακολούθηση από τους ISP. Από το άρθρο Ars Technica:
Η συνεργασία Comcast / Mozilla είναι αξιοσημείωτη επειδή οι πάροχοι ISP έχουν αγωνιστεί για την ανάπτυξη DNS μέσω HTTPS σε προγράμματα περιήγησης και το έργο του Mozilla στην τεχνολογία αποσκοπεί σε μεγάλο βαθμό στο να αποτρέψει τους ISP να παρακολουθούν την περιήγηση των χρηστών τους. Τον Σεπτέμβριο του 2019, βιομηχανικοί όμιλοι, συμπεριλαμβανομένου του λόμπι καλωδίων NCTA στο οποίο ανήκει η Comcast, έγραψαν ένα επιστολή στο Κογκρέσο αντίρρηση στα σχέδια της Google για κρυπτογραφημένο DNS σε Chrome και Android. Comcast έδωσε μέλη του Κογκρέσου a παρουσίαση λόμπι που ισχυρίστηκε ότι το σχέδιο κρυπτογραφημένου DNS θα «κεντροποιήσει [e] την πλειονότητα των δεδομένων DNS παγκοσμίως με την Google» και «θα δώσει σε έναν πάροχο τον έλεγχο της δρομολόγησης της κίνησης στο Διαδίκτυο και τεράστιων όγκων νέων δεδομένων σχετικά με τους καταναλωτές και τους ανταγωνιστές». Η παρουσίαση του λόμπι της Comcast παραπονέθηκε επίσης για το σχέδιο του Mozilla για τον Firefox.
Mozilla το Νοέμβριο κατηγορούμενοι ISP ψέματος στο Κογκρέσο για να εξαπλωθεί σύγχυση σχετικά με κρυπτογραφημένο DNS Mozilla επιστολή στο Κογκρέσο επέκρινε Comcast, δείχνοντας ένα περιστατικό το 2014 στην οποία η Comcast "έδωσε ένεση σε χρήστες που είναι συνδεδεμένοι με τα δημόσια σημεία πρόσβασης Wi-Fi, δημιουργώντας δυνητικά νέες ευπάθειες ασφαλείας σε ιστότοπους." Ο Mozilla είπε ότι λόγω του συμβάντος Comcast και άλλων που αφορούν τη Verizon και την AT&T, «Πιστεύουμε ότι τέτοια προληπτικά μέτρα [για την εφαρμογή κρυπτογραφημένου DNS] έχουν καταστεί απαραίτητα για την προστασία των χρηστών υπό το φως της εκτεταμένης καταγραφής κατάχρησης προσωπικών δεδομένων από τον ISP». Ο Mozilla επεσήμανε επίσης την έλλειψη κανόνων απορρήτου ευρείας ζώνης της χώρας, οι οποίοι ήταν σκοτώθηκε από το Κογκρέσο το 2017 κατόπιν αιτήματος των ISP.
Όμως, αυτό φαίνεται να συμβαίνει τώρα στο παρελθόν, με υπογεγραμμένη συμφωνία μεταξύ των δύο εταιρειών από τον Μάρτιο και με την προσδοκία ότι το κρυπτογραφημένο DNS της Comcast θα έρθει και στο Chrome σύντομα.
AddTrust External CA Το πιστοποιητικό ρίζας έχει λήξει
Η AddTrust External CA πιστοποιητικό ρίζας λήξει τον Μάιο 30, 2020. Αν και οι περισσότεροι χρήστες δεν θα επηρεαστούν από αυτήν τη λήξη, είναι ακόμα αξιοσημείωτο. Ορισμένα πιστοποιητικά που εκδόθηκαν στο παρελθόν από την αλυσίδα SSL.com στην ρίζα USERTrust RSA CA της Sectigo μέσω ενός ενδιάμεσου σταυρωτή από τη ρίζα του AddTrust. Αυτό έγινε για να διασφαλιστεί η συμβατότητα με συσκευές παλαιού τύπου που δεν περιλαμβάνουν τη ρίζα USERTrust.
Ευτυχώς, συσκευές που do Συμπεριλάβετε τη ρίζα USERTrust, η οποία είναι η συντριπτική πλειοψηφία, δεν θα επηρεαστεί από τη λήξη. Σε αυτήν την περίπτωση, η οποία θα ισχύει για όλα τα σύγχρονα προγράμματα περιήγησης, λειτουργικά συστήματα και κινητές συσκευές, το λογισμικό θα επιλέξει απλά μια διαδρομή εμπιστοσύνης που οδηγεί στο USERTrust και θα αγνοήσει το ληγμένο πιστοποιητικό AddTrust. Τα εξηγήσαμε όλα αυτά στην αρχή του μήνα, οπότε αν ψάχνετε για περισσότερες λεπτομέρειες, ίσως θέλετε κατευθυνθείτε στην ανάρτηση ιστολογίου μας στις 2 Ιουνίου. Για να διατηρηθεί η συμβατότητα με παλαιότερες συσκευές, οι κάτοχοι ιστότοπων με τα πιστοποιητικά SSL.com USERTrust μπορούν να πραγματοποιήσουν λήψη πιστοποιητικών αντικατάστασης ενδιάμεσου και root μέσω των παρακάτω κουμπιών:
Χρήστες που βασίζονται σε παλαιότερα SSL /TLS πελάτες, συμπεριλαμβανομένων των OpenSSL 1.0.x και GnuTLS, θα πρέπει να καταργήσει το πιστοποιητικό AddTrust που έχει λήξει από το ριζικό τους κατάστημα. Δείτε μας ανάρτηση για συνδέσμους προς διορθώσεις για Red Hat Linux και Ubuntu.
