SSL.comのセキュリティラウンドアップのこのXNUMX月版へようこそ。 Summer is here, the pandemic continues, and so does the news about digital security!夏が来て、パンデミックが続き、デジタルセキュリティに関するニュースも続きます! This month we'll be taking a look at:今月は以下を見ていきます。
- 上院議員は新しい「裏口」法案を導入します
- 米国政府は、すべての.govWebサイトでHTTPSを使用することを計画しています
- ComcastとMozillaStrike FirefoxDoHディール
- AddTrust External CA 30月XNUMX日で期限切れ
義務付けられた暗号化バックドアを検討する上院
これは一種のyikes-yです。 国の多くが法執行の力を縮小することを検討している間、XNUMX人の上院議員は ドラコニア法案 that will force tech companies to create encryption scheme “backdoors” that will allow law enforcement to access data in transit and on devices.これにより、テクノロジー企業は、法執行機関が転送中およびデバイス上のデータにアクセスできるようにする暗号化スキーム「バックドア」を作成する必要があります。 As Vice Magazine's副誌として マザーボード 簡潔に入れて 彼らの見出し、「暗号化を理解していない共和党員は、それを破るために法案を紹介します。」
上院議員のリンジー・グラハム(R-サウスカロライナ)、トム・コットン(R-アーカンソー)、マーシャ・ブラックバーン(R-テネシー)からの法案は、ハイテク業界、公民権擁護派、そして常識のある多くの人々から広く徹底的に批判されてきました。 トーマス・クラバーンのように 記事 TheRegisterの説明:
この法案は、令状を提示された企業(デバイスメーカー、オペレーティングシステムプロバイダー、リモートコンピューティングサービスのプロバイダー、または他の人)が、当局が「電子デバイスに保存された情報にアクセスしたり、リモートに保存された電子情報にアクセスしたりする」のを支援することを要求しています。 」
暗号化の処理方法は指定されておらず、当局に不便な場合は元に戻せるようにする必要があります…
…暗号化は、オンライン銀行口座やWebブラウジングなどを適度に安全に保つことで、かなりの量の犯罪を防止します。 数学的にバックドアを義務付ける 誰もが見つけることができます、最も賢明な動きではないかもしれません。
悲しいことに、この立法の試みは特に新しいものではなく、Powers That Beにとって物事を容易にするために、デジタルセキュリティを回避する試みの最新の怠惰な反復にすぎません。
米国政府はすべての.govWebサイトでHTTPSを使用することを計画しています
遅ればせながら、米国政府は 発表しました 「.gov」ドメインをHTTPStrict Transport Security(HSTS)プリロードリストに追加する意図。 今のところ、一部の政府サイトは、すべての.gov WebサーバーがデフォルトでHTTPSを使用するようになることを目的として、ユーザーがアクセスできるようにHTTPを提供し続けます。
But, this is the federal government, and it's important to note that none of this will be taking place overnight.しかし、これは連邦政府であり、これは一夜にして行われることはないことに注意することが重要です。 Rather, the US is working towards putting the .gov domain on the HSTS preload list, which will eventuallyむしろ、米国は.govドメインをHSTSプリロードリストに追加することに取り組んでいます。 HTTPS経由で通信するようにユーザーをリダイレクトする デフォルトとして。
政府アナウンサーt:
TLDをプリロードする意図を発表していますが、実際には本日プリロードしていないことに注意してください。 If we did that, some government websites that don't offer HTTPS would become inaccessible to users, and we don't want to negatively impact services on our way to enhancing them!そうすると、HTTPSを提供していない一部の政府のWebサイトにユーザーがアクセスできなくなり、サービスを強化する途中でサービスに悪影響を与えたくありません。 Actually preloading is a simple step, but getting there will require concerted effort among the federal, state, local and tribal government organizations that use a common resource, but don't often work together in this area… With concerted effort, we could preload .gov実際にはプリロードは簡単なステップですが、そこに到達するには、共通のリソースを使用する連邦、州、地方、部族の政府組織の間で協調した努力が必要ですが、この分野ではあまり協力しません…協調した努力で、プリロードできます。政府 数年以内に.
その間、同じ発表によると、政府は移行のために個々のサイトを準備し、プレゼンテーションとリスニングセッションを開催し、すべてを自動的にプリロードします 新製品 .govドメインはXNUMX月から始まります。 They have also created a new listserv for feedback from government agencies about challenges they expect to face.彼らはまた、直面すると予想される課題について政府機関からのフィードバックのために新しいリストサーブを作成しました。
ComcastとMozillaStrike FirefoxDoHディール
Comcastは、最初のインターネットサービスプロバイダーです。 Mozillaとの提携 Firefoxで暗号化されたDNSルックアップを提供します。 両社間の取引が来る 紛争後 over ISPのプライバシーと、DNS over HTTPSがユーザーを追跡し、ペアレンタルコントロールなどを維持するISPの機能を奪うかどうか。
ArsTechnicaのJonBrodkin 説明して that Comcast will be the first ISP to join Firefox's Trusted Recursive Resolver program, joining Cloudflare and NextDNS.そのComcastは、FirefoxのTrusted Recursive Resolverプログラムに参加し、CloudflareとNextDNSに参加する最初のISPになります。 The program, according to that article, “requires encrypted-DNS providers to meetその記事によると、このプログラムは「暗号化されたDNSプロバイダーが満たす必要があります プライバシーと透明性の基準 また、「リゾルバーが動作する法域の法律で特に要求されていない限り、デフォルトでドメインをブロックまたはフィルタリングしないことを誓約します。」
Ars Technicaの記事から:
Comcast / Mozillaのパートナーシップは注目に値します。これは、ISPがブラウザにDNS over HTTPSを展開する計画と戦ってきたためです。また、Mozillaのテクノロジーへの取り組みは、ISPがユーザーのブラウジングをスヌーピングするのを防ぐことを主な目的としています。 2019年XNUMX月、Comcastが所属するNCTAケーブルロビーを含む業界グループは、 手紙 議会へ Googleの計画に反対する ChromeとAndroidの暗号化されたDNSの場合。 Comcast 議会のメンバーに与えた a ロビー活動のプレゼンテーション 暗号化されたDNS計画は、「世界中のDNSデータの大部分をGoogleで一元化」し、「インターネットトラフィックルーティングと消費者と競合他社に関する膨大な量の新しいデータをXNUMXつのプロバイダーに制御させる」と主張しました。 Comcastのロビー活動のプレゼンテーションでも、MozillaのFirefoxの計画について不満がありました。
XNUMX月のMozilla 告発されたISP 暗号化されたDNSについての混乱を広めるために議会に嘘をつくこと。 Mozillaの 議会への手紙 Comcastを批判し、 2014年の事件 Comcastは、「パブリックWi-Fiホットスポットに接続しているユーザーに広告を挿入し、Webサイトに新しいセキュリティの脆弱性を作成する可能性があります」。 Mozillaは、Comcast事件やVerizonやAT&Tが関与するその他の事件のために、「ISPによる個人データの悪用の広範な記録に照らして、ユーザーを保護するために[暗号化されたDNSを実装する]このような積極的な対策が必要になったと考えています」と述べました。 Mozillaはまた、国のブロードバンドプライバシールールの欠如を指摘しました。 議会によって殺された 2017年にISPの要請で。
しかし、それは過去のことのようであり、XNUMX月の時点で両社間で署名された合意があり、Comcastの暗号化されたDNSもまもなくChromeに登場することが期待されています。
AddTrust External CA ルート証明書の有効期限が切れています
AddTrust External CA ルート証明書 期限切れの 月30、2020に。 ほとんどのユーザーはこの有効期限の影響を受けませんが、それでも注目に値します。 過去にSSL.comチェーンによってSectigoのUSERTrustRSA CAルートに発行された一部の証明書は、AddTrustルートによって相互署名された中間体を介して送信されます。 これは、USERTrustルートを含まないレガシーデバイスとの互換性を確保するために行われました。
幸いなことに、 do 大多数であるUSERTrustルートを含めると、有効期限の影響を受けません。 その場合、これはすべての最新のブラウザー、オペレーティングシステム、およびモバイルデバイスに当てはまり、ソフトウェアはUSERTrustにつながる信頼パスを選択し、期限切れのAddTrust証明書を無視します。 これはすべて月の初めに説明したので、詳細をお探しの場合は、 2月XNUMX日のブログ投稿にアクセスしてください。 古いデバイスとの互換性を維持するために、SSL.com USERTrust証明書を持つWebサイトの所有者は、以下のボタンを使用して、代替の中間証明書とルート証明書をダウンロードできます。
古いSSL /に依存しているユーザーTLS OpenSSL1.0.xおよびGnuを含むクライアントTLS、OSルートストアから期限切れのAddTrust証明書を削除する必要があります。 See our私たちを参照してください ブログ投稿 Red HatLinuxおよびUbuntuの修正へのリンク。
