Bienvenue dans cette édition de juin du Security Roundup de SSL.com. L'été est là, la pandémie continue, tout comme l'actualité de la sécurité numérique! Ce mois-ci, nous allons examiner:
- Les sénateurs présentent un nouveau projet de loi «porte dérobée»
- Le gouvernement américain prévoit d'utiliser HTTPS sur tous les sites Web .gov
- Comcast et Mozilla Strike Firefox DoH Deal
- AddTrust External CA Expiré le 30 mai
Le Sénat envisage d'envisager des portes dérobées de chiffrement obligatoires
Celui-ci est un peu yikes-y. Alors qu'une grande partie du pays envisage de réduire le pouvoir des forces de l'ordre, trois sénateurs ont introduit un Projet de loi draconien cela obligera les entreprises de technologie à créer des «portes dérobées» pour un système de cryptage qui permettront aux forces de l'ordre d'accéder aux données en transit et sur les appareils. Comme Vice Magazine Carte mère le mettre succinctement leur titre, "Les républicains qui ne comprennent pas le chiffrement présentent un projet de loi pour le casser."
Le projet de loi des sénateurs Lindsey Graham (R-Caroline du Sud), Tom Cotton (R-Arkansas) et Marsha Blackburn (R-Tennessee) a été largement et minutieusement critiqué par l'industrie de la technologie, les défenseurs des droits civils et beaucoup de bon sens. Comme Thomas Claburn's article dans The Register explique:
Le projet de loi exige que toute entreprise qui se présente avec un mandat - «fabricant de dispositifs, fournisseur de système d'exploitation, fournisseur de service informatique à distance ou autre personne» - aide les autorités à «accéder aux informations stockées sur un appareil électronique ou à accéder à des informations électroniques stockées à distance. "
Il ne précise pas comment le cryptage doit être traité, mais simplement qu'il doit être annulable lorsqu'il ne convient pas aux autorités ...
… Le cryptage, il faut le dire, empêche également une bonne partie de la criminalité en gardant des choses comme les comptes bancaires en ligne et la navigation sur le Web raisonnablement sécurisés. Mandater une porte dérobée, qui mathématiquement n'importe qui pourrait trouver, n'est peut-être pas la décision la plus sage.
Malheureusement, cette tentative de législation n'est même pas particulièrement nouvelle, juste la dernière itération paresseuse d'une tentative de contournement de la sécurité numérique pour faciliter les choses pour les pouvoirs en place.
Le gouvernement américain envisage d'utiliser HTTPS sur tous les sites Web .gov
Dans les bonnes nouvelles tardives, le gouvernement américain a annoncé son intention d'ajouter le domaine «.gov» à la liste de préchargement HTTP Strict Transport Security (HSTS). Pour le moment, certains sites gouvernementaux continueront à proposer HTTP pour les garder accessibles aux utilisateurs, avec l'intention d'atteindre le point où tous les serveurs Web .gov utiliseront HTTPS par défaut.
Mais il s'agit du gouvernement fédéral et il est important de noter que rien de tout cela ne se fera du jour au lendemain. Au contraire, les États-Unis s'efforcent de mettre le domaine .gov sur la liste de préchargement HSTS, qui finira par rediriger les utilisateurs pour qu'ils communiquent via HTTPS par défaut.
A partir de le gouvernement annoncet:
Notez que nous annonçons une intention de précharger le TLD, mais pas réellement de le précharger aujourd'hui. Si nous faisions cela, certains sites Web gouvernementaux qui n'offrent pas le HTTPS deviendraient inaccessibles aux utilisateurs, et nous ne voulons pas avoir un impact négatif sur les services sur notre façon de les améliorer! En fait, le préchargement est une étape simple, mais y parvenir exigera des efforts concertés entre les organisations gouvernementales fédérales, étatiques, locales et tribales qui utilisent une ressource commune, mais qui ne travaillent pas souvent ensemble dans ce domaine… Avec des efforts concertés, nous pourrions précharger. gov dans quelques années.
Dans l'intervalle, selon cette même annonce, le gouvernement préparera des sites individuels pour la transition, organisera des présentations et des séances d'écoute, et préchargera automatiquement tous neufs Domaines .gov à partir de septembre. Ils ont également créé une nouvelle liste de diffusion pour les commentaires des agences gouvernementales sur les défis auxquels ils s'attendent à faire face.
Comcast et Mozilla Strike Firefox DoH Deal
Comcast est le premier fournisseur d'accès Internet à partenariat avec Mozilla pour fournir des recherches DNS cryptées dans Firefox. L'accord entre les deux sociétés vient après un différend sur la confidentialité des FAI et si le DNS sur HTTPS enlève la capacité des FAI à suivre les utilisateurs et à maintenir des choses comme le contrôle parental.
Jon Brodkin dans Ars Technica Explique que Comcast sera le premier FAI à rejoindre le programme Trusted Recursive Resolver de Firefox, rejoignant Cloudflare et NextDNS. Le programme, selon cet article, «exige que les fournisseurs DNS cryptés répondent critères de confidentialité et de transparence et engagez-vous à ne pas bloquer ou filtrer les domaines par défaut «sauf si la loi de la juridiction dans laquelle le résolveur opère». »
Auparavant, les deux partenaires actuels étaient en désaccord sur DNS sur HTTPS, ce qui empêche les gens de voir ce que font les navigateurs de recherche DNS, ce qui rend la surveillance par les FAI assez difficile. Extrait de l'article d'Ars Technica:
Le partenariat Comcast / Mozilla est remarquable parce que les FAI ont combattu les projets de déploiement de DNS sur HTTPS dans les navigateurs, et le travail de Mozilla sur la technologie est en grande partie destiné à empêcher les FAI d'espionner la navigation de leurs utilisateurs. En septembre 2019, des groupes industriels, dont le lobby du câble NCTA auquel appartient Comcast, ont rédigé un lettre au congrès s'opposer aux plans de Google pour DNS crypté dans Chrome et Android. Comcast a donné aux membres du Congrès a présentation de lobbying qui prétendait que le plan DNS chiffré «centraliserait [e] une majorité des données DNS mondiales avec Google» et «donnerait à un fournisseur le contrôle du routage du trafic Internet et de vastes quantités de nouvelles données sur les consommateurs et les concurrents». La présentation de lobbying de Comcast s'est également plainte du plan de Mozilla pour Firefox.
Mozilla en novembre FAI accusés de mentir au Congrès afin de semer la confusion sur le DNS crypté. Mozilla lettre au Congrès critiqua Comcast, indiquant un incident en 2014 dans lequel Comcast «a injecté des publicités aux utilisateurs connectés à ses hotspots Wi-Fi publics, créant potentiellement de nouvelles vulnérabilités de sécurité dans les sites Web». Mozilla a déclaré qu'en raison de l'incident de Comcast et d'autres impliquant Verizon et AT&T, «nous pensons que de telles mesures proactives [pour mettre en œuvre un DNS crypté] sont devenues nécessaires pour protéger les utilisateurs à la lumière du vaste historique d'abus de données personnelles par les FAI.» Mozilla a également souligné l'absence de règles de confidentialité du haut débit dans le pays, qui étaient tué par le Congrès en 2017 à la demande des FAI.
Mais, cela semble maintenant être dans le passé, avec un accord signé entre les deux sociétés à partir de mars et une attente que le DNS crypté de Comcast arrivera également assez tôt sur Chrome.
AddTrust External CA Le certificat racine a expiré
La AddTrust External CA certificat racine expiré mai 30, 2020. Bien que la plupart des utilisateurs ne soient pas affectés par cette expiration, elle est tout de même remarquable. Certains certificats émis par le passé par SSL.com se connectent à la racine USERTrust RSA CA de Sectigo via une signature croisée intermédiaire par la racine AddTrust. Cela a été fait pour garantir la compatibilité avec les périphériques hérités qui n'incluent pas la racine USERTrust.
Heureusement, des appareils qui do inclure la racine USERTrust, qui sont la grande majorité, ne sera pas affectée par l'expiration. Dans ce cas, ce qui sera vrai pour tous les navigateurs, systèmes d'exploitation et appareils mobiles modernes, le logiciel choisira simplement un chemin de confiance menant à USERTrust et ignorera le certificat AddTrust expiré. Nous vous avons tout expliqué au début du mois, donc si vous cherchez plus de détails, vous voudrez peut-être rendez-vous sur notre article de blog du 2 juin. Pour maintenir la compatibilité avec les appareils plus anciens, les propriétaires de sites Web disposant de certificats SSL.com USERTrust peuvent télécharger des certificats intermédiaires et racine de remplacement via les boutons ci-dessous:
TÉLÉCHARGER LES CERTIFICATS INDIVIDUELS
TÉLÉCHARGER LES CERTIFICATS GROUPÉS
Utilisateurs utilisant d'anciens SSL /TLS clients, y compris OpenSSL 1.0.x et GnuTLS, doit supprimer le certificat AddTrust expiré de leur magasin racine du système d'exploitation. Voir nos blog pour des liens vers des correctifs pour Red Hat Linux et Ubuntu.
