Hari libur telah tiba, begitu juga buletin SSL.com November. Tahun ini, persiapan liburan mungkin tampak lebih berat dari sebelumnya. Bahkan mungkin tampak seperti menjaga keamanan Internet Anda terlalu menakutkan untuk ditangani. Kami di sini untuk memberi tahu Anda bahwa jenis pemikiran itu tidak masuk akal — lihat saja semua hal yang terjadi bulan lalu!
SSL.com Mendukung Protokol ACME
Pada 13 November, SSL.com mengumumkan dukungan untuk protokol ACME. Sekarang pelanggan kami dapat dengan mudah memanfaatkan SSL /TLS alat otomasi.
Awalnya mengembangkan Grup Riset Keamanan Internet dan diterbitkan sebagai standar internet di RFC 8555, ACME menyederhanakan pembaruan dan penggantian SSL /TLS sertifikat. Hal ini mempermudah pemilik situs web untuk selalu mengetahui informasi terbaru tentang sertifikat di situs mereka.
Anda dapat mengetahui lebih lanjut tentang keuntungan penerapan ACME SSL.com di kami posting blog mengumumkan peluncuran. Saat Anda siap untuk memulai, lihat membimbing untuk penerbitan sertifikat dan pencabutan dengan ACME, dan kami bagaimana-untuk tentang otomatisasi ACME untuk platform server Apache dan Nginx.
Kongres Menyetujui RUU Keamanan Siber IoT
Disahkan oleh Kongres AS pada 17 November 2020 dan menuju ke Gedung Putih untuk mendapatkan tanda tangan Presiden, Undang-Undang Peningkatan Keamanan Siber Internet of Things “Mewajibkan National Institute of Standards and Technology (NIST) dan Office of Management and Budget (OMB) untuk mengambil langkah-langkah tertentu guna meningkatkan keamanan siber untuk perangkat Internet of Things (IoT).”
In sebuah artikel tentang Pos Ancaman, Lindsey O'Donnell menjelaskan bahwa tindakan federal dirancang untuk mengakhiri masalah keamanan dan privasi yang telah lama membayangi perangkat IoT, dan melakukannya dengan cara yang sejalan dengan standar industri dan praktik terbaik yang ada. Dia menulis:
Undang-Undang Peningkatan Keamanan Siber IoT memiliki beberapa bagian berbeda. Pertama, ia mengamanatkan bahwa (National Institute of Standards and Technology) harus mengeluarkan pedoman berbasis standar untuk keamanan minimum perangkat IoT yang dimiliki oleh pemerintah federal. Kantor Manajemen dan Anggaran (OMB) juga harus menerapkan persyaratan bagi badan sipil federal untuk memiliki kebijakan keamanan informasi yang konsisten dengan pedoman NIST ini.
Berdasarkan undang-undang, lembaga federal juga harus menerapkan kebijakan pengungkapan kerentanan untuk perangkat IoT, dan mereka tidak dapat membeli perangkat yang tidak memenuhi pedoman keamanan.
O'Donnell lebih lanjut melaporkan bahwa upaya untuk mengatur IoT terus menjadi upaya di seluruh dunia, dengan rekomendasi keamanan dari Badan Uni Eropa untuk Keamanan Jaringan dan Informasi dan janji dari Inggris untuk mengeluarkan persyaratan untuk kata sandi dan pembaruan keamanan.
Mode Hanya HTTPS Ditawarkan di Firefox 83
Mozilla's Firefox 83, dirilis pada 17 November, menawarkan kepada pengguna sebuah Mode Hanya HTTPS. Dengan mengaktifkannya, browser akan secara otomatis mencari koneksi HTTPS dan meminta izin sebelum melanjutkan ke situs yang tidak mendukung koneksi aman. Sebagai Mozilla posting blog mengingatkan kita, protokol HTTP biasa dapat dilihat oleh mereka yang ingin mencuri atau merusak data. HTTP selesai TLS, atau HTTPS, memperbaikinya dengan membuat koneksi terenkripsi antara browser Anda dan situs web yang Anda kunjungi, yang tidak dapat dibaca oleh penyerang.
Meskipun sebagian besar situs saat ini mendukung HTTPS, beberapa situs masih mengandalkan HTTP. Atau, terkadang, versi HTTP yang tidak aman dari sebuah situs web adalah versi yang disimpan di bookmark Anda atau diakses melalui tautan lama, dan dapat menjadi default tanpa bantuan browser yang memprioritaskan koneksi HTTPS yang aman.
Seperti blog Mozilla menjelaskan, mengaktifkan mode baru sekarang mudah:
Jika Anda ingin mencoba fitur peningkatan keamanan baru ini, mengaktifkan Mode Hanya HTTPS sangatlah mudah:
- Klik tombol menu Firefox dan pilih "Preferences".
- Pilih "Privasi & Keamanan" dan gulir ke bawah ke bagian "Mode Hanya HTTPS".
- Pilih "Aktifkan Mode Hanya HTTPS di semua jendela".
Penanganan Permintaan OCSP oleh Apple Menyebabkan Masalah Privasi
Bulan ini, beberapa orang membunyikan alarm tentang Big Sur setelah masalah server mengungkapkan bahwa Apple sedang melacak, dan mengungkapkan, banyak hal tentang penggunanya saat memeriksa kode aplikasi yang ditandatangani. Pada dasarnya, kode pemeriksaan sertifikat mengirimkan "sidik jari digital" pengembang melalui HTTP teks biasa setiap kali aplikasi diluncurkan. Apa artinya? Thomas Claburn dari Pendaftaran membuatnya cukup ringkas: “Apple dan siapa pun yang menguping jalur jaringan setidaknya dapat menghubungkan Anda dengan alamat IP publik Anda ke jenis aplikasi yang Anda gunakan.”
Setelah informasi ini dipublikasikan, Apple berjanji untuk tidak lagi mencatat alamat IP. Juga dari Pendaftaran artikel:
Untuk lebih melindungi privasi, kami telah berhenti mencatat alamat IP yang terkait dengan pemeriksaan sertifikat ID Pengembang, dan kami akan memastikan bahwa setiap alamat IP yang dikumpulkan dihapus dari log, ”kata Apple.
Titan Silicon Valley itu juga mengatakan pihaknya berencana untuk menerapkan protokol terenkripsi untuk pemeriksaan pencabutan sertifikat ID pengembang, untuk mengambil langkah-langkah untuk membuat servernya lebih tangguh, dan untuk menyediakan pengguna dengan mekanisme penyisihan. Register memahami bahwa pemeriksaan sertifikat ditandatangani secara kriptografis oleh Apple, sehingga tidak dapat dirusak dalam perjalanan tanpa deteksi, meskipun dapat diamati, dan sekarang Apple akan membungkus saluran komunikasi tersebut dalam enkripsi untuk melindunginya dari pengintaian.
Selain itu, Apple telah berhenti mengizinkan aplikasi pihak ketiga seperti firewall dan VPN untuk memblokir atau memantau lalu lintas dari aplikasi dan proses sistem operasinya sendiri ke server Apple di Big Sur. Ini adalah masalah bagi mereka yang ingin menganalisis lalu lintas jaringan mereka secara komprehensif, atau hanya tidak ingin lalu lintas mereka masuk ke server Apple.
Meskipun artikel Register mengambil nada serius, itu cukup terukur. Untuk interpretasi akhir hari yang lebih bersemangat, Jeffery Paul juga menguraikan implikasi keamanan Pada Blog Nya.