Selamat datang di Security Roundup SSL.com edisi Juni ini. Musim panas di sini, pandemi berlanjut, dan begitu pula berita tentang keamanan digital! Bulan ini kita akan melihat:
- Senator Memperkenalkan RUU "Pintu Belakang" Baru
- Pemerintah AS berencana untuk menggunakan HTTPS di semua situs web .gov
- Comcast dan Mozilla Strike Firefox DoH Deal
- AddTrust External CA Kedaluwarsa 30 Mei
Senat Untuk Mempertimbangkan Backdoor Enkripsi yang Dimandatkan
Yang ini semacam yikes-y. Sementara banyak negara mempertimbangkan untuk meningkatkan kembali kekuatan penegakan hukum, tiga senator telah memperkenalkan Tagihan draconian yang akan memaksa perusahaan teknologi untuk membuat skema enkripsi "pintu belakang" yang akan memungkinkan penegak hukum untuk mengakses data dalam perjalanan dan pada perangkat. Sebagai Wakil Majalah motherboard ringkas memasukkannya ke dalam berita utama mereka, "Partai Republik yang Tidak Memahami Enkripsi Memperkenalkan Bill untuk Melanggarnya."
RUU dari Senator Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas), dan Marsha Blackburn (R-Tennessee) telah dikritik secara luas dan menyeluruh oleh industri teknologi, pendukung hak-hak sipil dan banyak lagi yang masuk akal. Seperti Thomas Claburn artikel dalam Daftar menjelaskan:
RUU tersebut mengharuskan perusahaan mana pun yang diberikan surat perintah - "produsen perangkat, penyedia sistem operasi, penyedia layanan komputasi jarak jauh, atau orang lain" - untuk membantu pihak berwenang "mengakses informasi yang disimpan di perangkat elektronik atau untuk mengakses informasi elektronik yang disimpan dari jarak jauh. ”
Itu tidak menentukan bagaimana enkripsi harus ditangani, hanya saja itu harus dibatalkan ketika tidak nyaman bagi pihak berwenang ...
… Enkripsi, harus dikatakan, juga mencegah sejumlah kejahatan dengan menjaga hal-hal seperti rekening bank online dan penjelajahan web cukup aman. Mengamanatkan pintu belakang, yang secara matematis siapa pun dapat menemukannya, mungkin bukan langkah paling bijak.
Sedihnya, upaya legislasi ini bahkan tidak terlalu baru, hanya iterasi malas terbaru dari upaya untuk memotong keamanan digital untuk membuat segalanya lebih mudah bagi Powers That Be.
Pemerintah AS Berencana Menggunakan HTTPS di Semua Situs Web .gov
Dalam berita bagus dan terlambat, Pemerintah AS telah mengumumkan maksudnya untuk menambahkan domain ".gov" ke daftar pramuat Keamanan Transportasi Ketat HTTP (HSTS). Untuk saat ini, beberapa situs pemerintah akan terus menawarkan HTTP agar tetap dapat diakses oleh pengguna, dengan tujuan mencapai titik di mana semua server web .gov akan menggunakan HTTPS secara default.
Tapi, ini adalah pemerintah federal, dan penting untuk dicatat bahwa semua ini tidak akan terjadi dalam semalam. Sebaliknya, AS sedang berupaya untuk menempatkan domain .gov pada daftar preload HSTS, yang pada akhirnya akan mengarahkan pengguna untuk berkomunikasi melalui HTTPS sebagai standar.
Dari pengumuman pemerintaht:
Perhatikan bahwa kami mengumumkan niat untuk memuat TLD, tetapi tidak benar-benar melakukan prapemuatan hari ini. Jika kami melakukan itu, beberapa situs web pemerintah yang tidak menawarkan HTTPS akan menjadi tidak dapat diakses oleh pengguna, dan kami tidak ingin berdampak negatif pada layanan dalam upaya kami untuk meningkatkannya! Sebenarnya preloading adalah langkah sederhana, tetapi untuk sampai ke sana akan membutuhkan upaya bersama antara organisasi pemerintah federal, negara bagian, lokal dan suku yang menggunakan sumber daya bersama, tetapi tidak sering bekerja bersama di bidang ini ... Dengan upaya bersama, kita bisa melakukan preload. pemerintah dalam beberapa tahun.
Sementara itu, sesuai dengan pengumuman yang sama, pemerintah akan mempersiapkan masing-masing situs untuk transisi, mengadakan presentasi dan sesi mendengarkan, dan secara otomatis preloading semua yang baru domain .gov dimulai pada bulan September. Mereka juga telah membuat listserv baru untuk mendapatkan umpan balik dari lembaga pemerintah tentang tantangan yang mereka harapkan untuk hadapi.
Comcast dan Mozilla Strike Firefox DoH Deal
Comcast adalah Penyedia Layanan Internet pertama bermitra dengan Mozilla untuk memberikan pencarian DNS terenkripsi di Firefox. Kesepakatan antara kedua perusahaan datang setelah perselisihan lebih dari privasi ISP dan apakah DNS melalui HTTPS menghilangkan kemampuan ISP untuk melacak pengguna dan memelihara hal-hal seperti kontrol orangtua.
Jon Brodkin di Ars Technica menjelaskan bahwa Comcast akan menjadi ISP pertama yang bergabung dengan program Pemulihan Rekursif Tepercaya Firefox, bergabung dengan Cloudflare dan NextDNS. Program, menurut artikel itu, “membutuhkan penyedia DNS terenkripsi untuk bertemu kriteria privasi dan transparansi dan berjanji untuk tidak memblokir atau memfilter domain secara default 'kecuali secara khusus diwajibkan oleh hukum di yurisdiksi tempat penyelesai beroperasi'. ”
Sebelumnya, kedua mitra sekarang tidak setuju atas DNS lebih dari HTTPS, yang mencegah orang melihat apa yang dibuat browser DNS lookup, membuat pemantauan oleh ISP cukup sulit. Dari artikel Ars Technica:
Kemitraan Comcast / Mozilla terkenal karena ISP telah memperjuangkan rencana untuk menyebarkan DNS melalui HTTPS di browser, dan pekerjaan Mozilla pada teknologi ini sebagian besar dimaksudkan untuk mencegah ISP mengintip penjelajahan pengguna mereka. Pada September 2019, kelompok industri termasuk lobi kabel NCTA milik Comcast menulis surat ke Kongres keberatan dengan rencana Google untuk DNS terenkripsi di Chrome dan Android. Comcast memberi anggota Kongres a melobi presentasi yang mengklaim rencana DNS terenkripsi akan "memusatkan [e] mayoritas data DNS di seluruh dunia dengan Google" dan "memberi satu penyedia kendali atas perutean lalu lintas Internet dan sejumlah besar data baru tentang konsumen dan pesaing." Presentasi lobi Comcast juga mengeluhkan rencana Mozilla untuk Firefox.
Mozilla pada bulan November ISP yang dituduh berbohong kepada Kongres untuk menyebarkan kebingungan tentang DNS terenkripsi. Mozilla surat ke kongres mengkritik Comcast, menunjuk ke sebuah insiden pada tahun 2014 di mana Comcast "memasukkan iklan ke pengguna yang terhubung ke hotspot Wi-Fi publiknya, yang berpotensi menciptakan kerentanan keamanan baru di situs". Mozilla mengatakan bahwa karena insiden Comcast dan insiden lain yang melibatkan Verizon dan AT&T, "Kami yakin bahwa tindakan proaktif semacam itu [untuk menerapkan DNS terenkripsi] telah menjadi penting untuk melindungi pengguna mengingat catatan ekstensif penyalahgunaan ISP atas data pribadi." Mozilla juga menunjukkan kurangnya aturan privasi broadband di negara itu dibunuh oleh Kongres pada 2017 atas permintaan ISP.
Tapi, yang tampaknya sekarang di masa lalu, dengan perjanjian yang ditandatangani antara kedua perusahaan pada Maret, dan harapan bahwa DNS terenkripsi Comcast akan segera datang ke Chrome juga.
AddTrust External CA Sertifikat Akar Telah Kedaluwarsa
Grafik AddTrust External CA sertifikat root kadaluarsa pada Mei 30, 2020. Meskipun sebagian besar pengguna tidak akan terpengaruh oleh kedaluwarsa ini, ini tetap patut diperhatikan. Beberapa sertifikat yang diterbitkan di masa lalu oleh rantai SSL.com ke root USERTrust RSA CA Sectigo melalui tanda silang perantara oleh root AddTrust. Ini dilakukan untuk memastikan kompatibilitas dengan perangkat lama yang tidak menyertakan root USERTrust.
Untungnya, perangkat itu do termasuk root USERTrust, yang merupakan sebagian besar, tidak akan terpengaruh oleh kedaluwarsa. Jika demikian, yang berlaku untuk semua browser modern, sistem operasi, dan perangkat seluler, perangkat lunak hanya akan memilih jalur kepercayaan yang mengarah ke USERTrust dan mengabaikan sertifikat AddTrust yang kedaluwarsa. Kami menjelaskan ini semua di awal bulan, jadi jika Anda mencari detail lebih lanjut, Anda mungkin ingin kepala ke posting blog 2 Juni kami. Untuk menjaga kompatibilitas dengan perangkat lama, pemilik situs web dengan sertifikat SSL.com USERTrust dapat mengunduh sertifikat perantara dan akar pengganti melalui tombol di bawah ini:
Pengguna mengandalkan SSL lama /TLS klien, termasuk OpenSSL 1.0.x dan GnuTLS, harus menghapus sertifikat AddTrust yang kedaluwarsa dari penyimpanan root OS mereka. Lihat kami posting blog untuk tautan ke perbaikan untuk Red Hat Linux dan Ubuntu.
