Tervetuloa SSL.com: n Security Roundupin kesäkuun numeroon. Kesä on täällä, pandemia jatkuu, samoin uutiset digitaalisesta turvallisuudesta! Tässä kuussa tarkastellaan:
- Senaattorit esittelivät uuden ”takaoven” lakiesityksen
- Yhdysvaltain hallitus aikoo käyttää HTTPS: ää kaikissa .gov-verkkosivustoissa
- Comcast ja Mozilla Strike Firefox DoH Deal
- AddTrust External CA Vanhentunut 30. toukokuuta
Senaatti harkitsee pakollista salausta takaovissa
Tämä on tavallaan yikes-y. Vaikka suuri osa maasta harkitsee lainvalvonnan vähentämistä, kolme senaattoria ovat ottaneet käyttöön a Drakonian lasku joka pakottaa teknologiayrityksiä luomaan salausjärjestelmän ”takaovet”, jonka avulla lainvalvontaviranomaiset voivat käyttää tietoja kuljetettaessa ja laitteilla. Varalehden toimittajana Emolevy laita se lyhyesti heidän otsikko, "Republikaanit, jotka eivät ymmärrä salausta, esittelevät Billin rikkomaan sitä."
Teknologiateollisuus, kansalaisoikeuksien puolustajat ja monet terveellä järjellä ovat arvostelleet laajalti ja perusteellisesti senaattoreiden Lindsey Grahamin (Etelä-Carolina), Tom Cottonin (R-Arkansas) ja Marsha Blackburnin (R-Tennessee) lakiesitystä. Kuten Thomas Claburn artikkeli Rekisterissä selittää:
Laskussa vaaditaan, että kaikki yritykset, joille on annettu optio - "laitevalmistaja, käyttöjärjestelmän tarjoaja, etälaskentapalvelujen tarjoaja tai muu henkilö" - auttavat viranomaisia "pääsemään sähköiseen laitteeseen tallennettuihin tietoihin tai pääsyyn etätallennettuihin sähköisiin tietoihin. ”
Siinä ei määritellä, miten salausta tulisi käsitellä, vaan sitä, että sen pitäisi olla kumottavissa, jos se on hankalaa viranomaisille ...
… Salaus, on sanottava, estää myös kohtuullisen määrän rikollisuutta pitämällä asioita, kuten verkkopankkitilit ja verkkoselaaminen, kohtuullisen turvallisena. Takaportin valtuuttaminen, mikä matemaattisesti kuka tahansa voisi löytää, ei ehkä ole viisain siirto.
Valitettavasti tämä lainsäädäntöyritys ei ole edes erityisen uusi, vain viimeisin laiska toisto yrityksestä, jolla yritetään ohittaa digitaalinen turvallisuus, jotta asiat olisivat entistä helpompia.
Yhdysvaltain hallitus aikoo käyttää HTTPS: ää kaikissa .gov-verkkosivustoissa
Hyvin myöhässä, Yhdysvaltain hallitus on ilmoittanut sen aikomuksen lisätä .gov-verkkotunnus HTTP Strict Transport Security (HSTS) -latausluetteloon. Toistaiseksi jotkut hallitusten sivustot tarjoavat edelleen HTTP: tä, jotta ne pysyvät käyttäjien saatavilla, tarkoituksenaan päästä pisteeseen, jossa kaikki .gov-verkkopalvelimet käyttävät oletuksena HTTPS: ää.
Mutta tämä on liittohallitus, ja on tärkeää huomata, että mikään näistä ei tapahdu yön yli. Pikemminkin Yhdysvallat pyrkii saattamaan .gov-verkkotunnuksen HSTS-esilatausluetteloon, mikä lopultakin tulee ohjaa käyttäjiä kommunikoimaan HTTPS: n kautta oletuksena.
alkaen hallituksen ilmoittajatt:
Huomaa, että ilmoitamme aikomuksesta ladata TLD etukäteen, mutta emme itse lataa sitä tänään. Jos tekisimme niin, jotkut valtion verkkosivustot, jotka eivät tarjoa HTTPS: tä, olisivat käyttäjien ulottumattomissa, emmekä halua vaikuttaa palveluihin negatiivisesti parantaessamme niitä! Itselataus on itse asiassa yksinkertainen askel, mutta sinne pääseminen vaatii yhteisiä ponnisteluja liittovaltion, osavaltioiden, paikallisten ja heimojen hallitusten organisaatioiden keskuudessa, jotka käyttävät yhteistä resurssia, mutta eivät usein työskentele yhdessä tällä alueella. gov muutaman vuoden sisällä.
Sillä välin saman ilmoituksen mukaan hallitus valmistelee yksittäisiä sivustoja siirtymäkaudelle, pitää esityksiä ja kuunteluistuntoja ja lataa automaattisesti kaikki uusi .gov-verkkotunnukset syyskuusta alkaen. He ovat myös luoneet uuden luettelon, joka antaa palautetta valtion virastoilta odotettavissa olevista haasteista.
Comcast ja Mozilla Strike Firefox DoH Deal
Comcast on ensimmäinen Internet-palveluntarjoaja kumppani Mozillan kanssa tarjota salattuja DNS-hakuja Firefoxissa. Yritysten välinen sopimus tulee riidan jälkeen yli Internet-palveluntarjoajien yksityisyyden ja poistaako HTTPS: n kautta tapahtuva DNS-palveluntarjoajien kyky seurata käyttäjiä ja ylläpitää esimerkiksi vanhempien valvontaa.
Jon Brodkin Ars Technicassa selittää että Comcast on ensimmäinen Internet-palveluntarjoaja, joka liittyy Firefoxin Trusted Recursive Resolver -ohjelmaan liittymällä Cloudflare ja NextDNS. Mainitun artikkelin mukaan ohjelma “vaatii salatun DNS-palveluntarjoajan tapaamisen yksityisyyden ja avoimuuden kriteerit ja sitoudu olemaan estämättä tai suodattamatta verkkotunnuksia oletusarvoisesti '' ellei laki nimenomaisesti sitä vaadi lainkäyttöalueella, jolla ratkaisija toimii ''.
Aikaisemmin kaksi nyt kumppania olivat erimielisiä DNS: stä HTTPS: n suhteen, mikä estää ihmisiä näkemästä, mitä DNS-hakuja selaimet tekevät, mikä tekee Internet-palveluntarjoajien suorittamasta seurannasta melko vaikeaa. Ars Technican artikkelista:
Comcast / Mozilla-kumppanuus on merkittävä, koska Internet-palveluntarjoajat ovat taistelleet suunnitelmia käyttää DNS: ää HTTPS: n kautta selaimissa, ja Mozillan tekniikkaa koskevan työn tarkoituksena on suurelta osin estää Internet-palveluntarjoajia ryömimästä käyttäjien selaamista. Syyskuussa 2019 teollisuusryhmät, mukaan lukien NCTA-kaapeli-aula, johon Comcast kuuluu, kirjoittivat a kirjain kongressiin vastustaa Googlen suunnitelmia salatulle DNS: lle Chromessa ja Androidissa. Comcast antoi kongressin jäsenille a edunvalvontaesitys joka väitti, että salattu DNS-suunnitelma "keskittäisi [suurimman osan maailmanlaajuisista DNS-tiedoista Googlen kanssa" ja "antaisi yhdelle palveluntarjoajalle Internet-liikenteen reitityksen ja valtavan määrän uutta tietoa kuluttajista ja kilpailijoista". Comcastin edunvalvontaesitys valitti myös Mozillan Firefox-suunnitelmasta.
Mozilla marraskuussa syytetty Internet-palveluntarjoajat valehdella kongressille sekaannuksen levittämiseksi salatusta DNS: stä. Mozillan kirjeen kongressille kritisoi Comcastia osoittaen tapahtuma vuonna 2014 jossa Comcast "pisteli mainoksia julkisiin Wi-Fi-hotspotteihinsa yhteydessä oleville käyttäjille, mikä saattaa luoda uusia tietoturva-aukkoja verkkosivustoille". Mozilla kertoi, että Comcast-tapahtuman ja muiden Verizonin sekä AT&T: n vuoksi "uskomme, että tällaiset ennakoivat toimenpiteet [salatun DNS: n käyttöönottamiseksi] ovat tulleet välttämättömiksi käyttäjien suojelemiseksi, kun otetaan huomioon laaja Internet-palveluntarjoajan henkilötietojen väärinkäyttö. Mozilla huomautti myös maan puuttuvan laajakaistan tietosuojasääntöjä, jotka olivat surmasi kongressi vuonna 2017 Internet-palveluntarjoajien pyynnöstä.
Mutta näyttää siltä, että se on menneisyydessä, kun kahden yrityksen välillä on maaliskuussa allekirjoitettu sopimus ja odotetaan, että Comcastin salattu DNS tulee myös Chromeen riittävän pian.
AddTrust External CA Päävarmenne on vanhentunut
- AddTrust External CA root-varmenne vanhentunut toukokuussa 30, 2020. Vaikka tämä vanhentuminen ei vaikuta useimpiin käyttäjiin, se on silti huomionarvoista. Joitakin SSL.com-ketjun aiemmin Sectigon USERTrust RSA CA-juurelle myöntämiä varmenteita AddTrust-juuren ristiin allekirjoittaman välivaiheen kautta. Tämä tehtiin varmistamaan yhteensopivuus vanhojen laitteiden kanssa, jotka eivät sisällä USERTrust-juuria.
Onneksi laitteet, jotka do sisältää USERTrust-juuren, jotka ovat valtaosa, vanhentuminen ei vaikuta siihen. Tällöin, mikä pätee kaikkiin moderneihin selaimiin, käyttöjärjestelmiin ja mobiililaitteisiin, ohjelmisto yksinkertaisesti valitsee USERTrustiin johtavan luottamuspolun ja ohittaa vanhentuneen AddTrust-varmenteen. Selitimme tämän kaiken kuukauden alussa, joten jos etsit lisätietoja, saatat haluta siirry 2. kesäkuuta päivättyyn blogiviestimme. Yhteensopivuuden säilyttämiseksi vanhempien laitteiden kanssa verkkosivustojen omistajat, joilla on SSL.com USERTrust -sertifikaatit, voivat ladata korvaavia väli- ja juurivarmenteita alla olevien painikkeiden kautta:
LATAA yksittäiset sertifikaatit
Käyttäjät, jotka luottavat vanhempaan SSL: ään /TLS asiakkaita, mukaan lukien OpenSSL 1.0.x ja GnuTLS, pitäisi poistaa vanhentunut AddTrust-varmenne heidän käyttöjärjestelmän juurikaupasta. Katso meidän blogi linkkejä Red Hat Linux- ja Ubuntu-korjauksiin.
