Rassegna sulla sicurezza di novembre 2020

Le vacanze sono qui, in qualche modo, così come la newsletter di SSL.com di novembre. Quest'anno, la preparazione delle vacanze potrebbe sembrare più travolgente che mai. Potrebbe anche sembrare che mantenere la sicurezza in Internet sia un compito troppo arduo da affrontare. Siamo qui per dirti che il tipo di pensiero è una sciocchezza: guarda tutte le cose che sono successe il mese scorso!

SSL.com supporta il protocollo ACME

Logo ACME

Il 13 novembre, SSL.com ha annunciato supporto per il protocollo ACME. Ora i nostri clienti possono facilmente trarre vantaggio da questo popolare SSL /TLS strumento di automazione.

Sviluppato originariamente l'Internet Security Research Group e pubblicato come standard Internet in RFC 8555, ACME semplifica il rinnovo e la sostituzione di SSL /TLS certificati. Ciò rende più facile per i proprietari di siti Web rimanere aggiornati con i certificati sui loro siti.

Puoi trovare ulteriori informazioni sui vantaggi dell'implementazione ACME di SSL.com nel nostro post sul blog annunciando il lancio. Quando sei pronto per iniziare, dai un'occhiata al nostro guida per l'emissione e la revoca del certificato con ACME e il nostro how-to sull'automazione ACME per le piattaforme server Apache e Nginx.

Da asporto di SSL.com: Siamo entusiasti di offrire questo popolare protocollo ai nostri clienti e speriamo che lo proverai presto!

Il Congresso approva la legge sulla sicurezza informatica dell'IoT

Approvato dal Congresso degli Stati Uniti il ​​17 novembre 2020 e diretto alla Casa Bianca per la firma del presidente, il Internet of Things Cybersecurity Improvement Act Internet "Richiede al National Institute of Standards and Technology (NIST) e all'Office of Management and Budget (OMB) di adottare misure specifiche per aumentare la sicurezza informatica per i dispositivi Internet of Things (IoT)."

In un articolo su Messaggio di minaccia, Lindsey O'Donnell spiega che la misura federale è progettata per porre fine ai problemi di sicurezza e privacy che hanno a lungo perseguitato i dispositivi IoT, e lo fa in un modo che si allinea con gli standard e le migliori pratiche del settore esistenti. Lei scrive:

L'IoT Cybersecurity Improvement Act ha diverse parti. In primo luogo, impone che (National Institute of Standards and Technology) emetta linee guida basate su standard per la sicurezza minima dei dispositivi IoT di proprietà del governo federale. L'Office of Management and Budget (OMB) deve anche implementare i requisiti per le agenzie civili federali per avere politiche di sicurezza delle informazioni che siano coerenti con queste linee guida NIST.
Secondo la legge, le agenzie federali devono anche implementare una politica di divulgazione delle vulnerabilità per i dispositivi IoT e non possono procurarsi dispositivi che non soddisfano le linee guida di sicurezza.

O'Donnell riferisce inoltre che lo sforzo per regolamentare l'IoT continua a essere uno sforzo mondiale, con raccomandazioni sulla sicurezza dell'Agenzia dell'Unione Europea per la sicurezza delle reti e dell'informazione e promesse dal Regno Unito di emettere requisiti per password e aggiornamenti di sicurezza.

Da asporto di SSL.com: Considerati i numerosi problemi di sicurezza recenti con i dispositivi "intelligenti" e la loro rapida proliferazione sul mercato, siamo lieti di vedere il Congresso degli Stati Uniti fare un passo nella giusta direzione per stabilire gli standard di sicurezza dell'IoT e le migliori pratiche per il governo federale.

Modalità solo HTTPS offerta in Firefox 83

Mozilla Firefox 83, rilasciato il 17 novembre, offre agli utenti un file Modalità solo HTTPS. Attivandolo, il browser cercherà automaticamente le connessioni HTTPS e chiederà l'autorizzazione prima di procedere a un sito che non supporta connessioni protette. Come Mozilla's post sul blog ci ricorda che il normale protocollo HTTP è visualizzabile da coloro che cercano di rubare o manomettere i dati. HTTP su TLS, o HTTPS, lo risolve creando una connessione crittografata tra il tuo browser e il sito web che stai visitando, che gli aspiranti aggressori non possono leggere. 

Sebbene la maggior parte dei siti oggigiorno supporti HTTPS, alcuni siti si basano ancora su HTTP. Oppure, a volte, una versione HTTP non sicura di un sito Web è quella memorizzata nei segnalibri o raggiunta tramite collegamenti legacy e può essere l'impostazione predefinita senza l'aiuto di un browser che dia la priorità alle connessioni HTTPS sicure.

Come il blog di Mozilla spiega, attivare la nuova modalità ora è facile:

Se non vedi l'ora di provare questa nuova funzione di miglioramento della sicurezza, abilitare la modalità solo HTTPS è semplice:

  1. Fare clic sul pulsante del menu di Firefox e scegliere "Preferenze".
  2. Seleziona "Privacy e sicurezza" e scorri verso il basso fino alla sezione "Modalità solo HTTPS".
  3. Scegli "Abilita modalità solo HTTPS in tutte le finestre".
Da asporto di SSL.com: Pensiamo che ogni il sito web dovrebbe essere solo HTTPS. Fino a quel momento, la modalità solo HTTPS è un modo semplice per gli utenti di Firefox per assicurarsi di utilizzare HTTPS quando possibile.

La gestione delle richieste OCSP da parte di Apple solleva preoccupazioni per la privacy

Questo mese, un paio di persone hanno lanciato l'allarme per Big Sur dopo che i problemi del server hanno rivelato che Apple sta monitorando e rivelando un sacco di cose sui suoi utenti durante il controllo del codice dell'applicazione firmato. In sostanza, il codice di controllo del certificato inviava "l'impronta digitale" di uno sviluppatore tramite HTTP di testo normale ogni volta che veniva avviata un'applicazione. Cosa significa? Thomas Claburn di Il registro lo mette abbastanza succintamente: "Apple e chiunque ascolti di nascosto il percorso di rete può almeno collegarti tramite il tuo indirizzo IP pubblico ai tipi di applicazione che utilizzi."

Sulla scia di queste informazioni rese pubbliche, Apple ha promesso di non registrare più gli indirizzi IP. Anche da Il registro articolo:

Per proteggere ulteriormente la privacy, abbiamo interrotto la registrazione degli indirizzi IP associati ai controlli dei certificati dell'ID sviluppatore e ci assicureremo che tutti gli indirizzi IP raccolti vengano rimossi dai registri ", ha affermato Apple.

Il titano della Silicon Valley ha anche affermato che intende implementare un protocollo crittografato per i controlli di revoca del certificato ID sviluppatore, adottare misure per rendere i suoi server più resilienti e fornire agli utenti un meccanismo di opt-out. Il registro comprende che i controlli dei certificati sono firmati crittograficamente da Apple, quindi non possono essere manomessi durante il transito senza essere rilevati, sebbene possano essere osservati, e quindi ora Apple avvolgerà quel canale di comunicazione nella crittografia per proteggerlo da occhi indiscreti.

Inoltre, Apple ha smesso di consentire ad app di terze parti come firewall e VPN di bloccare o monitorare il traffico dalle proprie app e dai processi del sistema operativo ai server Apple nel Big Sur. Questo è un problema per coloro che vogliono analizzare in modo completo il proprio traffico di rete o semplicemente non vogliono che il loro traffico vada ai server Apple.

Sebbene l'articolo di Register abbia un tono solenne, è piuttosto misurato. Per un'interpretazione più appassionata di fine giornata, Jeffery Paul analizza anche le implicazioni sulla sicurezza sul suo blog.

Da asporto di SSL.com: Nel tentativo di proteggere i propri utenti dal malware, Apple potrebbe aver compromesso eccessivamente la loro privacy. Riteniamo che il software che esegui e quello a cui si connette il tuo computer dovrebbero essere affari tuoi e speriamo che Apple adotti misure efficaci per restituire questo controllo agli utenti.

 

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.