Üdvözöljük az SSL.com Security Roundup júniusi kiadásában. Itt van a nyár, a járvány továbbra is folytatódik, és csakúgy, mint a digitális biztonsággal kapcsolatos hírek! Ebben a hónapban a következőkkel foglalkozunk:
- A szenátorok új „hátsó ajtó” törvényjavaslatot vezetnek be
- Az Egyesült Államok kormánya a HTTPS használatát tervezi valamennyi .gov webhelyen
- Comcast és a Mozilla Strike Firefox DoH Deal
- AddTrust External CA Május 30-án lejárt
A szenátus mérlegelni a kötelező titkosítást a hátsó ajtóban
Ez egyfajta yikes-y. Míg az ország nagy része fontolóra veszi a rendészeti hatalom csökkentését, három szenátor bevezette a Draconian számla amely arra kényszeríti a technológiai vállalatokat, hogy hozzanak létre egy „hátsó ajtó” titkosítási rendszert, amely lehetővé teszi a bűnüldöző szervek számára, hogy hozzáférjenek a tranzit és az eszközök adataihoz. Alelnök magazinként Alaplap tömören tegyük be a címsoruk"A republikánusok, akik nem értik a titkosítást, mutatják be a Bill-et, hogy megtörjék."
Lindsey Graham (R-Dél-Karolina), Tom Cotton (R-Arkansas) és Marsha Blackburn (R-Tennessee) szenátorok törvényjavaslatát széles körben és alaposan bírálta a technológiai ipar, az állampolgári jogok szószólói és sokan józan ésszel. Ahogy Thomas Claburné cikkben a nyilvántartásban magyarázza:
A törvényjavaslat előírja, hogy minden olyan társaságnak, akinek az okmányát bemutatják - „eszközgyártó, operációs rendszer-szolgáltató, távoli számítástechnikai szolgáltató vagy más személy” -, hogy segítse a hatóságokat az „elektronikus eszközön tárolt információkhoz való hozzáférésben vagy a távolról tárolt elektronikus információk elérésében. ”
Nem határozza meg, hogy miként kell kezelni a titkosítást, csak azt, hogy visszavonhatatlanná váljon, ha az kényelmetlen a hatóságok számára…
... A titkosítás meg kell, hogy mondjuk, megakadályozza a bűnözés jelentős részét azáltal, hogy az online bankszámlákat és az internetes böngészést megfelelő biztonságban tartja. A hátsó ajtó felhatalmazása, ami matematikailag bárki megtalálhatott, lehet, hogy nem a legbölcsebb lépés.
Sajnos ez a jogalkotási kísérlet még nem is különösebben új, csak a digitális biztonság megkerülésére tett kísérlet legújabb lusta iterációja, amely megkönnyíti a létező hatalmakat.
Az Egyesült Államok kormánya azt tervezi, hogy HTTPS-t fog használni az összes .gov-webhelyen
Jó, késő hír, az amerikai kormány bejelentette, szándéka, hogy a „.gov” tartományt felvegye a HTTP szigorú szállítási biztonság (HSTS) előtöltési listájába. Jelenleg egyes kormányzati webhelyek továbbra is HTTP-t kínálnak, hogy a felhasználók számára elérhetőek maradjanak, azzal a szándékkal, hogy elérjék azt a pontot, ahol az összes .gov webszerver alapértelmezés szerint HTTPS-t fog használni.
De ez a szövetségi kormány, és fontos megjegyezni, hogy ennek egyikére sem kerül sor egyik napról a másikra. Inkább az Egyesült Államok azon dolgozik, hogy a .gov tartományt felvegye a HSTS előterhelési listájára, amely végül is megtörténik átirányítja a felhasználókat a HTTPS-en keresztüli kommunikációra alapértelmezésként.
Tól től a kormány bemondóit:
Felhívjuk figyelmét, hogy bejelenti a TLD előzetes feltöltésének szándékát, de ma még nem töltjük be előre. Ha ezt megtennénk, néhány olyan kormányzati webhely, amely nem nyújtja a HTTPS-t, hozzáférhetetlenné válik a felhasználók számára, és nem akarjuk, hogy a szolgáltatások kedvezőtlen hatásaink legyenek fejlesztésük útján! Valójában az előterhelés egy egyszerű lépés, de az odajutás összehangolt erőfeszítéseket igényel a szövetségi, állami, helyi és törzsi kormányzati szervezetek között, amelyek közös erőforrást használnak, de ezen a területen gyakran nem működnek együtt. gov néhány éven belül.
Időközben ugyanezen bejelentés szerint a kormány külön helyszíneket készít az átmenetre, prezentációkat és meghallgatási üléseket tart, és automatikusan előtölti az összes új .gov domain szeptemberben kezdődik. Új listaszolgálatot készítettek a kormányzati ügynökségek visszajelzéseire az általuk várható kihívásokról.
Comcast és a Mozilla Strike Firefox DoH Deal
A Comcast az első internetszolgáltató partner a Mozilla-val titkosított DNS-keresések biztosítására a Firefoxban. A két társaság közötti megállapodás jön vita után az internetszolgáltatók adatvédelme felett, és vajon a HTTPS-en keresztüli DNS-e elhárítja-e az internetszolgáltatók azon képességét, hogy nyomon kövessék a felhasználókat és karbantarthassák a szülői felügyeletet.
Jon Brodkin az Ars Technica-ban magyarázza hogy a Comcast lesz az első olyan internetszolgáltató, amely csatlakozik a Firefox Trusted Recursive Resolver programjához, csatlakozva a Cloudflare és a NextDNS-hez. A cikk szerint a program „titkosított DNS-szolgáltatókkal találkozik adatvédelmi és átláthatósági kritériumok és ígéretet tesz arra, hogy alapértelmezés szerint nem blokkolja vagy szűri a domaineket, „hacsak a törvény nem írja elő külön abban a joghatóságban, ahol a felbontó működik”.
Korábban a két most partner már nem értett egyet a HTTPS-en keresztüli DNS-rel kapcsolatban, ami megakadályozza az embereket, hogy megnézhessék, mit tesznek a böngészők a DNS-keresések során, megnehezítve az internetszolgáltatók általi ellenőrzést. Az Ars Technica cikkből:
A Comcast / Mozilla partnerség azért figyelemre méltó, mert az internetszolgáltatók már tervezték a DNS-nek a HTTPS-en keresztüli telepítését a böngészőkben, és a Mozilla a technológiával kapcsolatos munkája nagyrészt az volt a célja, hogy megakadályozza az internetszolgáltatókat a felhasználók böngészésében. 2019 szeptemberében az iparági csoportok, köztük az NCTA kábellobbi, amelyhez a Comcast tartozik, a levél a kongresszusra kifogásolja a Google terveit titkosított DNS-hez a Chrome-ban és az Android-ban. Comcast adta a Kongresszus tagjait a előadások lobbizása amely azt állította, hogy a titkosított DNS-terv „központosítja [a] világszerte a DNS-adatok többségét a Google-lal”, és „egy szolgáltató kezébe adja az internetes forgalom útvonalválasztását, és hatalmas mennyiségű új adatot biztosít a fogyasztókról és a versenytársakról”. A Comcast lobbibemutatója a Mozilla Firefox-tervére is panaszkodott.
Mozilla novemberben vádolt internetszolgáltatók hazudni a kongresszusnak a titkosított DNS-t érintő zavart terjesztése érdekében. Mozilla levél a kongresszusnak bírálta Comcast, rámutatva egy esemény 2014-ben amelyben a Comcast „hirdetéseket injektált a nyilvános Wi-Fi hotspotjaihoz csatlakozó felhasználókhoz, ami új biztonsági réseket okozhat a webhelyeken”. A Mozilla elmondta, hogy a Comcast-incidens és más, a Verizont és az AT&T-t érintő események miatt "úgy gondoljuk, hogy ilyen proaktív intézkedésekre [a titkosított DNS bevezetésére] szükségessé vált a felhasználók védelme a személyes adatok internetszolgáltatók általi visszaéléseinek széles körű nyilvántartása fényében." A Mozilla rámutatott az ország szélessávú adatvédelmi szabályainak hiányára, amelyek voltak a Kongresszus megölte 2017-ben az internetszolgáltatók kérésére.
De úgy tűnik, hogy ez már a múltban van, március óta a két vállalat között aláírt megállapodással, és azzal a várakozással, hogy a Comcast titkosított DNS-je elég hamarosan megjelenik a Chrome-ban is.
AddTrust External CA A gyökértanúsítvány lejárt
A AddTrust External CA gyökér tanúsítvány lejárt május 30, 2020. Bár a legtöbb felhasználót nem érinti ez a lejárat, mégis figyelemre méltó. Néhány tanúsítvány, amelyet az SSL.com lánc a múltban adott ki a Sectigo USERTrust RSA CA gyökérzetének egy köztes, az AddTrust gyökér által aláírt közreműködésével. Ez annak biztosítása érdekében történt, hogy kompatibilis legyen a régi eszközökkel, amelyek nem tartalmazzák az USERTrust gyökeret.
Szerencsére eszközök, amelyek do tartalmazza a USERTrust gyökeret, amelyek túlnyomó többségét nem befolyásolja a lejárat. Ebben az esetben, amely minden modern böngészőre, operációs rendszerre és mobileszközre igaz lesz, a szoftver egyszerűen választ egy megbízhatósági utat, amely az USERTrust-hoz vezet, és figyelmen kívül hagyja a lejárt AddTrust tanúsítványt. A hónap elején mindezt elmagyaráztuk, így ha további részletekre vágyik, érdemes lehet olvassa el a június 2-i blogbejegyzésünket. A régebbi eszközökkel való kompatibilitás fenntartása érdekében az SSL.com USERTrust tanúsítvánnyal rendelkező webhelytulajdonosok az alábbi gombokkal tölthetik le a köztes és gyökér tanúsítványokat:
Töltse le az egyéni tanúsítványokat
KÖTELEZETT Tanúsítványok letöltése
A régebbi SSL-re támaszkodó felhasználók /TLS kliensek, köztük az OpenSSL 1.0.x és a GnuTLS, távolítsa el a lejárt AddTrust-tanúsítványt az operációs rendszer gyökértárából. Nézze meg blogbejegyzés a Red Hat Linux és az Ubuntu javításának hivatkozásaihoz.