Les vacances sont là, d'une manière ou d'une autre, tout comme la newsletter SSL.com de novembre. Cette année, la préparation des fêtes peut sembler plus difficile que jamais. Il peut même sembler que garder le contrôle de votre sécurité Internet est une tâche trop ardue à relever. Nous sommes ici pour vous dire que ce type de pensée est absurde - regardez tout ce qui s'est passé le mois dernier!
SSL.com prend en charge le protocole ACME
Le 13 novembre, SSL.com annoncé prise en charge du protocole ACME. Désormais, nos clients peuvent facilement profiter de ce SSL /TLS outil d'automatisation.
Initialement développé le groupe de recherche sur la sécurité Internet et publié en tant que norme Internet dans RFC 8555, ACME simplifie le renouvellement et le remplacement de SSL /TLS certificats. Cela permet aux propriétaires de sites Web de rester plus facilement à jour avec les certificats sur leurs sites.
Vous pouvez en savoir plus sur les avantages de la mise en œuvre ACME de SSL.com dans notre blog annonçant le lancement. Lorsque vous êtes prêt à commencer, consultez notre guide à la délivrance et à la révocation des certificats avec l'ACME, et notre comment faire sur l'automatisation ACME pour les plates-formes serveur Apache et Nginx.
Le Congrès approuve le projet de loi sur la cybersécurité IoT
Adopté par le Congrès américain le 17 novembre 2020 et se rendant à la Maison Blanche pour la signature du président, le Loi sur l'amélioration de la cybersécurité de l'Internet des objets "Exige que l'Institut national des normes et de la technologie (NIST) et le Bureau de la gestion et du budget (OMB) prennent des mesures spécifiques pour accroître la cybersécurité des appareils de l'Internet des objets (IoT)."
In un article sur Message de menace, Lindsey O'Donnell explique que la mesure fédérale est conçue pour mettre fin aux problèmes de sécurité et de confidentialité qui préoccupent depuis longtemps les appareils IoT, et ce d'une manière qui s'aligne sur les normes et les meilleures pratiques existantes de l'industrie. Elle écrit:
La loi sur l'amélioration de la cybersécurité de l'IoT comprend plusieurs parties. Premièrement, il exige que (l'Institut national des normes et de la technologie) émette des directives basées sur des normes pour la sécurité minimale des appareils IoT qui appartiennent au gouvernement fédéral. Le Bureau de la gestion et du budget (OMB) doit également mettre en œuvre les exigences pour les agences civiles fédérales d'avoir des politiques de sécurité de l'information qui sont conformes à ces directives du NIST.
En vertu de la loi, les agences fédérales doivent également mettre en œuvre une politique de divulgation des vulnérabilités pour les appareils IoT, et elles ne peuvent pas se procurer des appareils qui ne respectent pas les directives de sécurité.
O'Donnell rapporte en outre que l'effort de réglementation de l'IoT continue d'être un effort mondial, avec des recommandations de sécurité de l'Agence de l'Union européenne pour la sécurité des réseaux et de l'information et des promesses du Royaume-Uni d'émettre des exigences pour les mots de passe et les mises à jour de sécurité.
Mode HTTPS uniquement proposé dans Firefox 83
Firefox 83 de Mozilla, sorti le 17 novembre, offre aux utilisateurs un Mode HTTPS uniquement. En l'activant, le navigateur recherchera automatiquement les connexions HTTPS et demandera l'autorisation avant de passer à un site qui ne prend pas en charge les connexions sécurisées. Comme Mozilla blog nous rappelle que le protocole HTTP standard est visible par ceux qui cherchent à voler ou à falsifier des données. HTTP sur TLSou HTTPS, corrige ce problème en créant une connexion cryptée entre votre navigateur et le site Web que vous visitez, que les attaquants potentiels ne peuvent pas lire.
Bien que la plupart des sites prennent actuellement en charge HTTPS, certains sites utilisent toujours HTTP. Ou, parfois, une version HTTP non sécurisée d'un site Web est celle stockée dans vos signets ou accessible via des liens hérités, et peut être la version par défaut sans l'aide d'un navigateur qui donne la priorité aux connexions HTTPS sécurisées.
Comme le blog Mozilla Explique, l'activation du nouveau mode est maintenant facile:
Si vous souhaitez essayer cette nouvelle fonctionnalité d'amélioration de la sécurité, l'activation du mode HTTPS uniquement est simple:
- Cliquez sur le bouton de menu de Firefox et choisissez «Préférences».
- Sélectionnez «Confidentialité et sécurité» et faites défiler jusqu'à la section «Mode HTTPS uniquement».
- Choisissez «Activer le mode HTTPS uniquement dans toutes les fenêtres».
La gestion par Apple des demandes OCSP soulève des problèmes de confidentialité
Ce mois-ci, quelques personnes ont sonné l'alarme à propos de Big Sur après que des problèmes de serveur ont révélé qu'Apple suivait et révélait beaucoup de choses sur ses utilisateurs lors de la vérification du code d'application signé. Essentiellement, le code de vérification de certificat envoyait «l'empreinte numérique» d'un développeur via HTTP en texte brut chaque fois qu'une application était lancée. Qu'est-ce que ça veut dire? Thomas Claburn de Le registre le met assez succinctement: "Apple ainsi que toute personne qui écoute le chemin du réseau peut au moins vous relier par votre adresse IP publique aux types d'applications que vous utilisez."
À la suite de la publication de ces informations, Apple a promis de ne plus enregistrer les adresses IP. Aussi de Le registre article:
Pour protéger davantage la confidentialité, nous avons cessé de consigner les adresses IP associées aux vérifications des certificats ID développeur, et nous veillerons à ce que toutes les adresses IP collectées soient supprimées des journaux », a déclaré Apple.
Le titan de la Silicon Valley a également déclaré qu'il prévoyait de mettre en œuvre un protocole crypté pour les vérifications de révocation des certificats d'identification des développeurs, de prendre des mesures pour rendre ses serveurs plus résilients et de fournir aux utilisateurs un mécanisme de désinscription. Le registre comprend que les contrôles de certificats sont signés de manière cryptographique par Apple, ils ne peuvent donc pas être falsifiés en transit sans détection, bien qu'ils puissent être observés, et donc maintenant, Apple enveloppera ce canal de communication dans le cryptage pour le protéger des regards indiscrets.
De plus, Apple a cessé d'autoriser les applications tierces telles que les pare-feu et les VPN à bloquer ou surveiller le trafic de ses propres applications et processus du système d'exploitation vers les serveurs d'Apple à Big Sur. C'est un problème pour ceux qui souhaitent analyser de manière exhaustive leur trafic réseau ou qui ne veulent tout simplement pas que leur trafic soit acheminé vers les serveurs Apple.
Bien que l'article du registre ait un ton solennel, il est assez mesuré. Pour une interprétation de fin de journée plus passionnée, Jeffery Paul décompose également les implications sécuritaires sur son blog.
