どういうわけか、休日はここにあり、XNUMX月のSSL.comニュースレターもそうです。 今年、休日の準備はこれまで以上に圧倒的に思えるかもしれません。 インターネットセキュリティを常に把握することは、取り組むのが非常に困難な作業のように思えるかもしれません。 私たちは、この種の考え方はナンセンスだと言うためにここにいます。先月起こったすべてのことを見てください!
SSL.comはACMEプロトコルをサポートしています
13月XNUMX日、SSL.com 発表の ACMEプロトコルのサポート。 これで、お客様はこの人気のあるSSL /を簡単に利用できます。TLS 自動化ツール。
もともとインターネットセキュリティ研究グループを開発し、インターネット標準として公開されました RFC 8555、ACMEはSSL /の更新と交換を簡素化しますTLS 証明書。 これにより、Webサイトの所有者は、サイトの証明書を最新の状態に保つことが容易になります。
SSL.comのACME実装の利点について詳しくは、 ブログ投稿 発売を発表。 始める準備ができたら、私たちをチェックしてください ガイド ACMEによる証明書の発行と取り消し、および ハウツーものの ApacheおよびNginxサーバープラットフォームのACME自動化について。
議会がIoTサイバーセキュリティ法案を承認
17年2020月XNUMX日に米国議会を通過し、大統領の署名のためにホワイトハウスに向かう モノのインターネットサイバーセキュリティ改善法 「米国国立標準技術研究所(NIST)と行政管理予算局(OMB)は、モノのインターネット(IoT)デバイスのサイバーセキュリティを強化するための特定の措置を講じる必要があります。」
In 記事 脅威郵便、Lindsey O'Donnellは、連邦政府の措置は、IoTデバイスを長い間悩ませてきたセキュリティとプライバシーの問題に終止符を打つように設計されており、既存の業界標準とベストプラクティスに沿った方法でそうしていると説明しています。 彼女は書く:
IoTサイバーセキュリティ改善法にはいくつかの異なる部分があります。 まず、(米国国立標準技術研究所)は、連邦政府が所有するIoTデバイスの最小限のセキュリティに関する標準ベースのガイドラインを発行する必要があることを義務付けています。 行政管理予算局(OMB)は、連邦民間機関がこれらのNISTガイドラインと一致する情報セキュリティポリシーを持つための要件も実装する必要があります。
法律の下では、連邦政府機関はIoTデバイスの脆弱性開示ポリシーも実装する必要があり、セキュリティガイドラインを満たしていないデバイスを調達することはできません。
O'Donnellはさらに、IoTを規制する取り組みは引き続き世界規模の取り組みであり、欧州連合ネットワーク情報セキュリティ機関からのセキュリティに関する推奨事項と、パスワードとセキュリティ更新の要件を発行することを英国から約束していると報告しています。
Firefox83で提供されるHTTPSのみのモード
83月17日にリリースされたMozillaのFirefoxXNUMXは、ユーザーに HTTPSのみのモード。 これを有効にすると、ブラウザは自動的にHTTPS接続を探し、許可を求めてから、安全な接続をサポートしていないサイトに進みます。 Mozillaのように ブログ投稿 通常のHTTPプロトコルは、データを盗んだり改ざんしたりしようとしている人が見ることができます。 HTTPオーバー TLSまたは HTTPS、ブラウザとアクセスしているWebサイトの間に暗号化された接続を作成することにより、攻撃者が読み取ることができない問題を修正します。
最近のほとんどのサイトはHTTPSをサポートしていますが、一部のサイトは依然としてHTTPに依存しています。 または、安全でないHTTPバージョンのWebサイトがブックマークに保存されているか、レガシーリンクを介して到達している場合があり、安全なHTTPS接続を優先するブラウザを使用しなくてもデフォルトになります。
Mozillaブログとして 説明して、新しいモードをオンにするのは簡単です。
この新しいセキュリティ強化機能を試してみたい場合は、HTTPSのみのモードを有効にするのは簡単です。
- Firefoxのメニューボタンをクリックして、「設定」を選択します。
- 「プライバシーとセキュリティ」を選択し、「HTTPSのみのモード」のセクションまでスクロールダウンします。
- 「すべてのウィンドウでHTTPSのみのモードを有効にする」を選択します。
AppleのOCSP要求の処理は、プライバシーの懸念を引き起こします
今月、サーバーの問題により、Appleが署名されたアプリケーションコードをチェックする際にユーザーについて多くのことを追跡し、明らかにした後、数人の人々がBigSurについて警告を発しました。 基本的に、証明書チェックコードは、アプリケーションが起動されるたびに、プレーンテキストのHTTPを介して開発者の「デジタルフィンガープリント」を送信していました。 どういう意味ですか? のトーマス・クラバーン 登録 簡潔に言えば:「Appleだけでなく、ネットワークパスを盗聴する人は、少なくともパブリックIPアドレスで使用するアプリケーションの種類にリンクできます。」
この情報が公開されたことを受けて、AppleはIPアドレスをログに記録しないことを約束しました。 またから 登録 記事:
プライバシーをさらに保護するために、開発者ID証明書のチェックに関連付けられたIPアドレスのログ記録を停止し、収集されたIPアドレスがログから確実に削除されるようにします」とAppleは述べています。
シリコンバレーの巨人はまた、開発者ID証明書失効チェック用の暗号化プロトコルを実装し、サーバーの復元力を高め、ユーザーにオプトアウトメカニズムを提供する計画だとも述べました。 レジスターは、証明書チェックがAppleによって暗号で署名されていることを理解しているため、検出せずに転送中に改ざんすることはできませんが、監視することはできます。そのため、Appleはその通信チャネルを暗号化でラップして、詮索好きな目から保護します。
さらに、Appleは、ファイアウォールやVPNなどのサードパーティアプリが、自社のアプリやオペレーティングシステムプロセスからBigSurにあるAppleのサーバーへのトラフィックをブロックまたは監視することを許可しなくなりました。 これは、ネットワークトラフィックを包括的に分析したい場合、または単にトラフィックをAppleサーバーに送信したくない場合に問題になります。
レジスターの記事は厳粛な口調ですが、かなり測定されています。 より情熱的な一日の終わりの解釈のために、ジェフリーポールはセキュリティへの影響も分析します 自分のブログに.
