Az ünnepek valahogy itt vannak, és a novemberi SSL.com hírlevél is. Ebben az évben az ünnepi előkészület mindent elsöprőnek tűnhet. Akár úgy is tűnhet, hogy az internetes biztonságának fenntartása túl ijesztő feladat. Azért vagyunk itt, hogy elmondhassuk nektek, hogy a gondolkodás típusa ostobaság - nézze meg mindazt, ami a múlt hónapban történt!
Az SSL.com támogatja az ACME protokollt
November 13-án az SSL.com bejelentés az ACME protokoll támogatása. Most ügyfeleink könnyen kihasználhatják ezt a népszerű SSL /TLS automatizálási eszköz.
Eredetileg az Internetbiztonsági Kutatócsoportot fejlesztette ki, és internetes szabványként XNUMX-ban jelent meg RFC 8555, Az ACME leegyszerűsíti az SSL /TLS tanúsítványokat. Ez megkönnyíti a webhelytulajdonosok számára, hogy naprakészek maradjanak a webhelyükön található tanúsítványokkal.
Az SSL.com ACME megvalósításának előnyeiről itt talál további információt blogbejegyzés az indítás bejelentése. Ha készen áll a kezdésre, nézze meg a mi oldalunkat útmutató tanúsítványkibocsátáshoz és visszavonáshoz az ACME-nél, és a mi hogyan kell az ACME automatizálásáról az Apache és az Nginx szerver platformokhoz.
A kongresszus jóváhagyja az IoT kiberbiztonsági törvényjavaslatát
Az Egyesült Államok Kongresszusa elfogadta 17. november 2020-én, és a Fehér Ház felé tartott az elnök aláírása érdekében A tárgyak internete kiberbiztonsági fejlesztési törvénye „Megköveteli a Nemzeti Szabványügyi és Technológiai Intézettől (NIST), valamint a Vezetési és Költségvetési Hivataltól (OMB), hogy tegyen meghatározott lépéseket a tárgyak internete (IoT) eszközök kiberbiztonságának növelése érdekében.”
In egy cikk a Fenyegetés bejegyzés, Lindsey O'Donnell elmagyarázza, hogy a szövetségi intézkedés célja, hogy véget vessen azoknak a biztonsági és adatvédelmi kérdéseknek, amelyek régóta kihatnak az IoT-eszközökre, és ezt oly módon teszi, hogy összhangban legyen a meglévő ipari szabványokkal és a bevált gyakorlatokkal. Ő ír:
Az IoT kiberbiztonsági fejlesztési törvényének több különböző része van. Először előírja, hogy (Nemzeti Szabványügyi és Technológiai Intézet) szabványalapú iránymutatásokat adjon ki a szövetségi kormány tulajdonában lévő IoT-eszközök minimális biztonságáról. A Vezetési és Költségvetési Irodának (OMB) a szövetségi polgári ügynökségeknek is követelményeket kell bevezetniük arra, hogy az ezen NIST irányelveknek megfelelő információbiztonsági politikákkal rendelkezzenek.
A törvény értelmében a szövetségi ügynökségeknek a IoT-eszközök biztonsági résének és nyilvánosságra hozatalának politikáját is végre kell hajtaniuk, és nem tudnak olyan eszközöket beszerezni, amelyek nem felelnek meg a biztonsági irányelveknek.
O'Donnell tovább beszámol arról, hogy az IoT szabályozására irányuló erőfeszítések továbbra is világméretű erőfeszítések, az Európai Unió Hálózat- és Információbiztonsági Ügynökségének biztonsági ajánlásaival együtt, valamint az Egyesült Királyság ígéreteivel jelszavakra és biztonsági frissítésekre vonatkozó követelményeket fog kiadni.
Csak HTTPS-mód, a Firefox 83-ban kínálva
A Mozilla november 83-én kiadott Firefox 17-as verziója a felhasználóknak egy Csak HTTPS mód. Engedélyezésével a böngésző automatikusan megkeresi a HTTPS-kapcsolatokat és engedélyt kér, mielőtt olyan webhelyre lépne, amely nem támogatja a biztonságos kapcsolatokat. Ahogy a Mozilla is blogbejegyzés emlékeztet minket, hogy a szokásos HTTP protokollt azok láthatják, akik lopni vagy adatot akarnak manipulálni. HTTP vége TLSvagy HTTPS, kijavítja, hogy titkosított kapcsolatot hoz létre böngészője és a látogatott webhely között, amelyet a lehetséges támadók nem tudnak elolvasni.
Noha manapság a legtöbb webhely támogatja a HTTPS-t, néhány webhely továbbra is a HTTP-re támaszkodik. Vagy néha a webhely nem biztonságos HTTP-változata az, amelyet a könyvjelzőiben tárolnak, vagy amelyet régi linkeken keresztül érnek el, és ez lehet az alapértelmezett böngésző segítsége nélkül, amely a biztonságos HTTPS-kapcsolatokat helyezi előtérbe.
Mint a Mozilla blog magyarázza, az új mód bekapcsolása egyszerű:
Ha szeretné kipróbálni ezt az új biztonságnövelő funkciót, akkor a Csak HTTPS mód engedélyezése egyszerű:
- Kattintson a Firefox menü gombjára, és válassza a „Beállítások” lehetőséget.
- Válassza az „Adatvédelem és biztonság” lehetőséget, és görgessen le a „Csak HTTPS mód” szakaszig.
- Válassza a „Csak HTTPS mód engedélyezése az összes ablakban” lehetőséget.
Az Apple az OCSP-kérelmek kezelésével adatvédelmi aggályokat vet fel
Ebben a hónapban néhány ember riasztott a Big Sur-ról, miután a szerverproblémák kiderítették, hogy az Apple sok mindent nyomon követ, és kideríti a felhasználóiról, amikor ellenőrzi az aláírt alkalmazáskódot. Lényegében a tanúsítvány-ellenőrző kód egy fejlesztő „digitális ujjlenyomatát” küldte egyszerű szöveges HTTP-n keresztül, amikor egy alkalmazás elindult. Az mit jelent? Thomas Claburn A regisztráció elég tömören fogalmaz: "Az Apple és bárki, aki a hálózati útvonalon lehallgat, legalább a nyilvános IP-címe alapján összekapcsolhatja Önt a használt alkalmazások fajtáival."
Ezen információk nyilvánosságra hozatala nyomán az Apple megígérte, hogy többé nem naplózza az IP-címeket. -Tól is A regisztráció cikkben:
Az adatvédelem további védelme érdekében leállítottuk a Developer ID tanúsítványok ellenőrzéséhez társított IP-címek naplózását, és biztosítjuk, hogy az összes összegyűjtött IP-címet eltávolítsuk a naplókból.
A Szilícium-völgy titán azt is elmondta, hogy tervez egy titkosított protokoll bevezetését a fejlesztői azonosító tanúsítványok visszavonásának ellenőrzésére, lépéseket tesz szervereinek ellenállóbbá tételére, és a felhasználók számára opt-out mechanizmust biztosít. A Nyilvántartás megérti, hogy a tanúsítványellenőrzéseket az Apple kriptográfiai aláírással látja el, ezért észlelés nélkül nem lehet manipulálni őket szállítás közben, bár megfigyelhetők, és ezért most az Apple titkosításba burkolja ezt a kommunikációs csatornát, hogy megvédje a kíváncsi szemektől.
Ezenkívül az Apple felhagyott olyan harmadik féltől származó alkalmazásokkal, mint a tűzfalak és a VPN-ek, hogy blokkolják vagy figyelemmel kísérjék a saját alkalmazások és az operációs rendszerek folyamataitól az Apple Big Sur-i szervereire irányuló forgalmat. Ez azoknak jelent problémát, akik átfogóan szeretnék elemezni hálózati forgalmukat, vagy egyszerűen nem akarják, hogy forgalmuk az Apple szervereire irányuljon.
Habár a Regisztráció cikk ünnepélyes hangot ad, eléggé kimért. A napok végének szenvedélyes értelmezése érdekében Jeffery Paul lebontja a biztonsági következményeket is blogjában.