Lomat ovat jotenkin täällä, ja niin on myös marraskuun SSL.com-uutiskirje. Tänä vuonna lomavalmistelut saattavat tuntua ylivoimaisemmilta kuin koskaan. Saattaa jopa tuntua siltä, että Internet-turvallisuutesi pitäminen on liian pelottava tehtävä käsitellä. Kerromme sinulle, että tällainen ajattelu on hölynpölyä - katsokaa vain kaikkia asioita, joita tapahtui viime kuussa!
SSL.com tukee ACME-protokollaa
SSLM 13. marraskuuta ilmoitti tuki ACME-protokollalle. Nyt asiakkaamme voivat helposti hyödyntää tätä suosittua SSL /TLS automaatiotyökalu.
Alun perin kehittänyt Internet Security Research Groupin ja julkaistu Internet-standardina vuonna RFC 8555, ACME yksinkertaistaa SSL /TLS todistukset. Tämä helpottaa verkkosivustojen omistajien pysymistä ajan tasalla sivustojen varmenteista.
Löydät lisätietoja SSL.com: n ACME-toteutuksen eduista meidän blogi ilmoitetaan käynnistämisestä. Kun olet valmis aloittamaan, tutustu meidän ohjaavat sertifikaattien myöntämiseen ja peruuttamiseen ACME: n ja meidän miten-to Apache- ja Nginx-palvelinympäristöjen ACME-automaatiosta.
Kongressi hyväksyy IoT: n kyberturvallisuuslaskun
Yhdysvaltain kongressi hyväksyi 17. marraskuuta 2020 ja menee Valkoiseen taloon presidentin allekirjoittamista varten Esineiden internetin kyberturvallisuuden parantamista koskeva laki "Vaatii, että National Institute of Standards and Technology (NIST) ja Office of Management and Budget (OMB) ryhtyvät määriteltyihin toimiin esineiden internetin (IoT) laitteiden kyberturvallisuuden lisäämiseksi."
In artikkeli aiheesta Threat Post, Lindsey O'Donnell selittää, että liittovaltion toimenpide on suunniteltu lopettamaan turvallisuus- ja yksityisyydenkysymykset, jotka ovat jo pitkään vaikuttaneet IoT-laitteisiin, ja se tehdään tavalla, joka on yhdenmukainen nykyisten alan standardien ja parhaiden käytäntöjen kanssa. Hän kirjoittaa:
IoT: n kyberturvallisuuden parantamista koskevassa laissa on useita eri osia. Ensinnäkin se valtuuttaa (National Institute of Standards and Technology) antamaan standardeihin perustuvia ohjeita liittohallituksen omistamien IoT-laitteiden vähimmäisturvallisuudesta. Hallinnon ja budjetin toimiston (OMB) on myös pantava täytäntöön liittovaltion siviilivirastoille asetetut vaatimukset, jotka koskevat näiden NIST-ohjeiden mukaista tietoturvapolitiikkaa.
Lain mukaan liittovaltion virastojen on myös pantava täytäntöön haavoittuvuuksien paljastamista koskeva käytäntö IoT-laitteille, eivätkä ne voi hankkia laitteita, jotka eivät täytä turvallisuusohjeita.
O'Donnell kertoo edelleen, että pyrkimys IoT: n sääntelyyn on edelleen maailmanlaajuista pyrkimystä, ja Euroopan unionin verkko- ja tietoturvavirasto on antanut tietoturvasuosituksia ja Yhdistynyt kuningaskunta lupaa antaa salasanoja ja tietoturvapäivityksiä koskevia vaatimuksia.
Vain HTTPS-tila, tarjotaan Firefox 83: ssa
Mozillan 83. marraskuuta julkaistu Firefox 17 tarjoaa käyttäjille Vain HTTPS-tila. Ottamalla sen käyttöön selain etsii automaattisesti HTTPS-yhteyksiä ja pyytää lupaa ennen siirtymistä sivustolle, joka ei tue suojattuja yhteyksiä. Kuten Mozillan blogi muistuttaa meitä, tavallinen HTTP-protokolla on nähtävissä niille, jotka haluavat varastaa tai muuttaa tietoja. HTTP yli TLStai HTTPS, korjaa sen luomalla salatun yhteyden selaimesi ja vierailemasi sivuston välille, jota mahdolliset hyökkääjät eivät voi lukea.
Vaikka useimmat sivustot tukevat nykyään HTTPS: ää, jotkut sivustot luottavat edelleen HTTP: hen. Tai joskus verkkosivuston suojaamaton HTTP-versio on kirjanmerkkeihisi tallennettu tai vanhojen linkkien kautta saavutettu versio, ja se voi olla oletusarvo ilman selaimen apua, joka asettaa etusijalle suojatut HTTPS-yhteydet.
Mozilla-blogina selittää, uuden tilan ottaminen käyttöön nyt on helppoa:
Jos haluat kokeilla tätä uutta turvallisuutta parantavaa ominaisuutta, vain HTTPS-tilan ottaminen käyttöön on yksinkertaista:
- Napsauta Firefoxin valikkopainiketta ja valitse Asetukset.
- Valitse "Privacy & Security" ja vieritä alas kohtaan "Vain HTTPS-tila".
- Valitse Ota käyttöön vain HTTPS-tila kaikissa ikkunoissa.
Applen käsittelemät OCSP-pyynnöt herättävät yksityisyyden huolenaiheita
Tässä kuussa pari ihmistä soitti hälytyksen Big Surista, kun palvelinongelmat paljastivat, että Apple seuraa ja paljastaa paljon helvettiä käyttäjistään tarkistettaessa allekirjoitettua sovelluskoodia. Pohjimmiltaan varmenteen tarkistuskoodi lähetti kehittäjän "digitaalisen sormenjäljen" yksinkertaisen tekstin HTTP: n kautta aina, kun sovellus käynnistettiin. Mitä tuo tarkoittaa? Thomas Claburn Rekisteri esittää sen riittävän ytimekkäästi: "Apple ja kaikki muut, jotka salakuuntelevat verkkopolkua, voivat ainakin linkittää sinut julkisella IP-osoitteellasi käyttämiisi sovelluksiin."
Tämän tiedon julkistamisen jälkeen Apple lupasi enää kirjautua IP-osoitteisiin. Myös Rekisteri artikkeli:
Yksityisyyden suojaamiseksi olemme lopettaneet Developer ID -varmennetarkistuksiin liittyvien IP-osoitteiden kirjaamisen ja varmistamme, että kaikki kerätyt IP-osoitteet poistetaan lokeista ”, Apple sanoi.
Piilaakson titaani ilmoitti myös aikovansa toteuttaa salatun protokollan kehittäjätodistuksen varmenteiden peruuttamistarkastuksia varten, ryhtyä toimiin palvelimiensa joustavuuden lisäämiseksi ja tarjota käyttäjille opt-out -mekanismi. Rekisteri ymmärtää, että sertifikaattitarkistukset on Apple allekirjoittanut kryptografisesti, joten niitä ei voida vahingoittaa kuljetuksen aikana ilman havaitsemista, vaikka ne voidaan havaita, joten nyt Apple kääri kyseisen viestintäkanavan salaukseksi suojaamaan sitä uteliailta katseilta.
Lisäksi Apple on lakannut antamasta kolmansien osapuolten sovelluksille, kuten palomuureille ja VPN: ille, estää tai seurata liikennettä omilta sovelluksiltaan ja käyttöjärjestelmän prosesseilta Applen palvelimille Big Surissa. Tämä on ongelma niille, jotka haluavat analysoida kattavasti verkkoliikennettään tai yksinkertaisesti eivät halua liikenteen siirtyvän Apple-palvelimille.
Vaikka rekisteriartikkeli ottaa juhlallisen sävyn, se on melko mitattu. Jeffery Paul hajottaa intohimoisemman loppupäivän tulkinnan myös turvallisuusvaikutuksista hänen blogi.
