Bienvenido a esta edición de junio del Resumen de seguridad de SSL.com. El verano está aquí, la pandemia continúa, ¡y también las noticias sobre seguridad digital! Este mes echaremos un vistazo a:
- Senadores presentan nuevo proyecto de ley de "puerta trasera"
- El gobierno de los Estados Unidos planea usar HTTPS en todos los sitios web .gov
- Comcast y Mozilla Strike Firefox DoH Deal
- AddTrust External CA Caducó el 30 de mayo
El Senado considerará puertas traseras de cifrado obligatorias
Este es una especie de yikes-y. Mientras que gran parte del país está considerando reducir el poder de la aplicación de la ley, tres senadores han introducido un Proyecto de ley draconiano eso obligará a las compañías tecnológicas a crear esquemas de encriptación "puertas traseras" que permitirán a las fuerzas del orden público acceder a los datos en tránsito y en los dispositivos. Como Vice Magazine Placa madre sucintamente ponerlo en su titular, "Los republicanos que no entienden el cifrado presentan un proyecto de ley para romperlo".
El proyecto de ley de los senadores Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas) y Marsha Blackburn (R-Tennessee) ha sido ampliamente criticado por la industria tecnológica, los defensores de los derechos civiles y muchos con sentido común. Como Thomas Claburn's artículo en The Register explica:
El proyecto de ley requiere que cualquier empresa a la que se presente una orden judicial - "fabricante de dispositivos, proveedor de sistema operativo, proveedor de servicios informáticos remotos u otra persona" - ayude a las autoridades a "acceder a información almacenada en un dispositivo electrónico o acceder a información electrónica almacenada remotamente". "
No especifica cómo se debe tratar el cifrado, solo que debe poder deshacerse cuando sea inconveniente para las autoridades ...
… El cifrado, debe decirse, también previene una cantidad considerable de delitos al mantener cosas como las cuentas bancarias en línea y la navegación web razonablemente segura. Ordenar una puerta trasera, que matemáticamente cualquiera podría encontrar, podría no ser el movimiento más sabio.
Lamentablemente, este intento de legislación ni siquiera es particularmente nuevo, solo la última iteración perezosa de un intento de eludir la seguridad digital para facilitar las cosas a los poderes fácticos.
El gobierno de EE. UU. Planea usar HTTPS en todos los sitios web .gov
En buenas noticias tardías, el gobierno de los Estados Unidos ha anunciado su intención de agregar el dominio ".gov" a la lista de precarga de HTTP Strict Transport Security (HSTS). Por ahora, algunos sitios gubernamentales continuarán ofreciendo HTTP para mantenerlos accesibles a los usuarios, con la intención de llegar al punto en que todos los servidores web .gov utilizarán HTTPS por defecto.
Pero, este es el gobierno federal, y es importante tener en cuenta que nada de esto tendrá lugar de la noche a la mañana. Más bien, los Estados Unidos están trabajando para poner el dominio .gov en la lista de precarga de HSTS, que eventualmente redirigir a los usuarios para que se comuniquen a través de HTTPS por defecto
Desde el anuncio del gobiernot:
Tenga en cuenta que estamos anunciando una intención de precargar el TLD, pero en realidad no lo precargamos hoy. Si hiciéramos eso, algunos sitios web del gobierno que no ofrecen HTTPS quedarían inaccesibles para los usuarios, ¡y no queremos impactar negativamente los servicios en nuestro camino para mejorarlos! En realidad, la precarga es un paso simple, pero llegar allí requerirá un esfuerzo concertado entre las organizaciones gubernamentales federales, estatales, locales y tribales que usan un recurso común, pero que a menudo no trabajan juntas en esta área ... Con un esfuerzo concertado, podríamos precargar. gobierno en algunos años.
Mientras tanto, de acuerdo con el mismo anuncio, el gobierno preparará sitios individuales para la transición, realizará presentaciones y sesiones de escucha, y precargará automáticamente new Dominios .gov a partir de septiembre. También han creado un nuevo servidor de listas para recibir comentarios de las agencias gubernamentales sobre los desafíos que esperan enfrentar.
Comcast y Mozilla Strike Firefox DoH Deal
Comcast es el primer proveedor de servicios de Internet en asociarse con Mozilla para proporcionar búsquedas DNS encriptadas en Firefox. Llega el acuerdo entre las dos compañías después de una disputa sobre la privacidad del ISP y si DNS sobre HTTPS elimina la capacidad de los ISP para rastrear a los usuarios y mantener cosas como los controles parentales.
Jon Brodkin en Ars Technica explica la ese Comcast será el primer ISP en unirse al programa Trusted Recursive Resolver de Firefox, uniéndose a Cloudflare y NextDNS. El programa, de acuerdo con ese artículo, "requiere que los proveedores de DNS encriptados se reúnan criterios de privacidad y transparencia y se compromete a no bloquear ni filtrar dominios de forma predeterminada 'a menos que la ley lo requiera específicamente en la jurisdicción en la que opera el resolutor' ”.
Anteriormente, los dos socios ahora no estaban de acuerdo sobre DNS sobre HTTPS, lo que impide que las personas vean lo que están haciendo los buscadores de DNS, lo que hace que la supervisión por parte de los ISP sea bastante difícil. Del artículo de Ars Technica:
La asociación Comcast / Mozilla es notable porque los ISP han luchado contra los planes de implementar DNS a través de HTTPS en los navegadores, y el trabajo de Mozilla en la tecnología está destinado en gran medida a evitar que los ISP espíen la navegación de sus usuarios. En septiembre de 2019, grupos de la industria, incluido el lobby de cable NCTA al que pertenece Comcast, escribieron un carta al Congreso objetar los planes de Google para DNS encriptado en Chrome y Android. Comcast dio a los miembros del Congreso a presentación de cabildeo que afirmaba que el plan de DNS encriptado "centralizaría [e] la mayoría de los datos de DNS en todo el mundo con Google" y "le daría a un proveedor el control del enrutamiento del tráfico de Internet y grandes cantidades de datos nuevos sobre consumidores y competidores". La presentación de cabildeo de Comcast también se quejó del plan de Mozilla para Firefox.
Mozilla en noviembre ISP acusados de mentirle al Congreso para sembrar confusión sobre el DNS cifrado. De Mozilla carta al Congreso criticó a Comcast, señalando a un incidente en 2014 en el que Comcast "inyectó anuncios a los usuarios conectados a sus puntos de acceso Wi-Fi públicos, creando potencialmente nuevas vulnerabilidades de seguridad en los sitios web". Mozilla dijo que debido al incidente de Comcast y otros que involucran a Verizon y AT&T, "Creemos que tales medidas proactivas [para implementar DNS cifrados] se han vuelto necesarias para proteger a los usuarios a la luz del extenso historial de abuso de datos personales por parte de los ISP". Mozilla también señaló la falta de reglas de privacidad de banda ancha en el país, que fueron asesinado por el Congreso en 2017 a solicitud de los ISP.
Pero, eso parece ser ahora en el pasado, con un acuerdo firmado entre las dos compañías a partir de marzo, y la expectativa de que el DNS encriptado de Comcast también llegará a Chrome pronto.
AddTrust External CA El certificado raíz ha expirado
El AddTrust External CA certificado raíz expirado de mayo 30, 2020. Aunque la mayoría de los usuarios no se verán afectados por esta caducidad, sigue siendo digno de mención. Algunos certificados emitidos en el pasado por SSL.com se encadenan a la raíz de CA USERTrust RSA de Sectigo a través de una firma intermedia cruzada por la raíz de AddTrust. Esto se hizo para garantizar la compatibilidad con dispositivos heredados que no incluyen la raíz de USERTrust.
Afortunadamente, dispositivos que do incluir la raíz de USERTrust, que son la gran mayoría, no se verán afectados por la caducidad. En ese caso, que será cierto para todos los navegadores, sistemas operativos y dispositivos móviles modernos, el software simplemente elegirá una ruta de confianza que conduzca a USERTrust e ignorará el certificado AddTrust caducado. Explicamos todo esto a principios de mes, así que si está buscando más detalles, es posible que desee dirígete a nuestra publicación de blog del 2 de junio. Para mantener la compatibilidad con dispositivos más antiguos, los propietarios de sitios web con certificados USERTrust de SSL.com pueden descargar certificados intermedios y raíz de reemplazo a través de los siguientes botones:
DESCARGAR CERTIFICADOS INDIVIDUALES
DESCARGAR CERTIFICADOS INCLUIDOS
Usuarios que confían en SSL anterior /TLS clientes, incluidos OpenSSL 1.0.xy GnuTLS, debe eliminar el certificado AddTrust caducado de su almacén raíz del sistema operativo. Mira nuestro entrada del blog para enlaces a arreglos para Red Hat Linux y Ubuntu.