Las vacaciones están aquí, de alguna manera, y también el boletín de noviembre de SSL.com. Este año, la preparación para las fiestas puede parecer más abrumadora que nunca. Incluso podría parecer que mantenerse al tanto de la seguridad de Internet es una tarea demasiado abrumadora de abordar. Estamos aquí para decirte que ese tipo de pensamiento es una tontería, ¡solo mira todas las cosas que sucedieron el mes pasado!
SSL.com admite el protocolo ACME
El 13 de noviembre, SSL.com anunció soporte para el protocolo ACME. Ahora nuestros clientes pueden aprovechar fácilmente este popular SSL /TLS herramienta de automatización.
Desarrolló originalmente el Grupo de investigación de seguridad de Internet y se publicó como estándar de Internet en RFC 8555, ACME simplifica la renovación y el reemplazo de SSL /TLS Certificados. Eso hace que sea más fácil para los propietarios de sitios web mantenerse actualizados con los certificados en sus sitios.
Puede obtener más información sobre las ventajas de la implementación ACME de SSL.com en nuestro entrada del blog anunciando el lanzamiento. Cuando esté listo para comenzar, consulte nuestro guía para la emisión y revocación de certificados con ACME, y nuestro How-To sobre la automatización ACME para las plataformas de servidor Apache y Nginx.
El Congreso aprueba el proyecto de ley de ciberseguridad de IoT
Aprobado por el Congreso de los Estados Unidos el 17 de noviembre de 2020 y en camino a la Casa Blanca para la firma del presidente, el Ley de mejora de la ciberseguridad de Internet de las cosas "Requiere que el Instituto Nacional de Estándares y Tecnología (NIST) y la Oficina de Gestión y Presupuesto (OMB) tomen medidas específicas para aumentar la ciberseguridad para los dispositivos de Internet de las cosas (IoT)".
In un artículo sobre Publicación de amenaza, Lindsey O'Donnell explica que la medida federal está diseñada para poner fin a los problemas de seguridad y privacidad que han perseguido durante mucho tiempo a los dispositivos de IoT, y lo hace de una manera que se alinea con los estándares y mejores prácticas existentes de la industria. Ella escribe:
La Ley de mejora de la ciberseguridad de IoT tiene varias partes diferentes. Primero, exige que (Instituto Nacional de Estándares y Tecnología) debe emitir pautas basadas en estándares para la seguridad mínima de los dispositivos de IoT que son propiedad del gobierno federal. La Oficina de Administración y Presupuesto (OMB) también debe implementar requisitos para que las agencias civiles federales tengan políticas de seguridad de la información que sean consistentes con estas pautas del NIST.
Según la ley, las agencias federales también deben implementar una política de divulgación de vulnerabilidades para los dispositivos de IoT y no pueden adquirir dispositivos que no cumplan con las pautas de seguridad.
O'Donnell informa además que el esfuerzo por regular el IoT sigue siendo un esfuerzo mundial, con recomendaciones de seguridad de la Agencia de Seguridad de la Información y Redes de la Unión Europea y promesas del Reino Unido de emitir requisitos para contraseñas y actualizaciones de seguridad.
Modo solo HTTPS ofrecido en Firefox 83
Firefox 83 de Mozilla, lanzado el 17 de noviembre, ofrece a los usuarios una Modo solo HTTPS. Al habilitarlo, el navegador buscará automáticamente conexiones HTTPS y solicitará permiso antes de ir a un sitio que no admita conexiones seguras. Como Mozilla's entrada del blog nos recuerda que aquellos que buscan robar o manipular datos pueden ver el protocolo HTTP normal. HTTP sobre TLSo HTTPS, lo corrige al crear una conexión encriptada entre su navegador y el sitio web que está visitando, que los posibles atacantes no pueden leer.
Aunque la mayoría de los sitios actualmente son compatibles con HTTPS, algunos sitios todavía dependen de HTTP. O, a veces, una versión HTTP insegura de un sitio web es la que se almacena en sus marcadores o se accede a través de enlaces heredados, y puede ser la predeterminada sin la ayuda de un navegador que priorice las conexiones HTTPS seguras.
Como el blog de Mozilla explica la, activar el nuevo modo ahora es fácil:
Si está ansioso por probar esta nueva función de mejora de la seguridad, habilitar el modo solo HTTPS es simple:
- Haga clic en el botón de menú de Firefox y elija "Preferencias".
- Seleccione "Privacidad y seguridad" y desplácese hacia abajo hasta la sección "Modo solo HTTPS".
- Elija "Habilitar el modo solo HTTPS en todas las ventanas".
El manejo de las solicitudes OCSP por parte de Apple genera preocupaciones sobre la privacidad
Este mes, un par de personas dieron la alarma sobre Big Sur después de que los problemas del servidor revelaran que Apple está rastreando y revelando muchas cosas sobre sus usuarios al verificar el código de aplicación firmado. Básicamente, el código de verificación de certificados enviaba una “huella digital” del desarrollador a través de HTTP de texto plano cada vez que se lanzaba una aplicación. Qué significa eso? Thomas Claburn de El registro lo pone bastante sucinto: "Tanto Apple como cualquier persona que esté escuchando a escondidas en la ruta de la red pueden al menos vincularlo mediante su dirección IP pública a los tipos de aplicación que utiliza".
A raíz de que esta información se hiciera pública, Apple prometió no registrar más direcciones IP. También de El registro artículo:
Para proteger aún más la privacidad, hemos dejado de registrar las direcciones IP asociadas con las verificaciones de certificados de ID de desarrollador y nos aseguraremos de que todas las direcciones IP recopiladas se eliminen de los registros ”, dijo Apple.
El titán de Silicon Valley también dijo que planea implementar un protocolo encriptado para verificaciones de revocación de certificados de identificación de desarrollador, tomar medidas para hacer que sus servidores sean más resistentes y brindar a los usuarios un mecanismo de exclusión voluntaria. El Registro entiende que los cheques de certificados están firmados criptográficamente por Apple, por lo que no pueden ser manipulados en tránsito sin ser detectados, aunque pueden ser observados, por lo que ahora Apple envolverá ese canal de comunicación en encriptación para protegerlo de miradas indiscretas.
Además, Apple ha dejado de permitir que aplicaciones de terceros como firewalls y VPN bloqueen o monitoreen el tráfico desde sus propias aplicaciones y procesos del sistema operativo a los servidores de Apple en Big Sur. Este es un problema para aquellos que desean analizar exhaustivamente el tráfico de su red o simplemente no quieren que su tráfico vaya a los servidores de Apple.
Aunque el artículo de Register tiene un tono solemne, es bastante mesurado. Para una interpretación más apasionada del final de los días, Jeffery Paul también analiza las implicaciones de seguridad en su blog.