휴일이 여기에 있으며 XNUMX 월 SSL.com 뉴스 레터도 있습니다. 올해 휴가 준비는 그 어느 때보 다 부담스러워 보일 수 있습니다. 인터넷 보안을 최상으로 유지하는 것이 해결하기에는 너무 힘든 작업처럼 보일 수도 있습니다. 우리는 생각의 유형이 말도 안된다는 것을 여러분에게 말하고자합니다. 지난 달에 일어난 모든 일을 살펴보세요!
SSL.com은 ACME 프로토콜을 지원합니다.
13 월 XNUMX 일, SSL.com 발표 ACME 프로토콜 지원. 이제 고객은이 인기있는 SSL /TLS 자동화 도구.
원래 Internet Security Research Group을 개발하고 다음 지역에 인터넷 표준으로 게시했습니다. RFC 8555, ACME는 SSL /의 갱신 및 교체를 단순화합니다.TLS 인증서. 이를 통해 웹 사이트 소유자는 사이트의 인증서를보다 쉽게 최신 상태로 유지할 수 있습니다.
SSL.com의 ACME 구현의 장점에 대한 자세한 내용은 블로그 게시물 출시를 발표합니다. 시작할 준비가되면 안내 ACME를 통한 인증서 발급 및 취소, 어떻게에 Apache 및 Nginx 서버 플랫폼을위한 ACME 자동화.
의회, IoT 사이버 보안 법안 승인
17 년 2020 월 XNUMX 일 미국 의회에서 통과되어 대통령의 서명을 받기 위해 백악관으로 향합니다. 사물 인터넷 사이버 보안 개선법 "NIST (National Institute of Standards and Technology)와 OMB (Office of Management and Budget)는 사물 인터넷 (IoT) 장치에 대한 사이버 보안을 강화하기위한 특정 조치를 취해야합니다."
In 에 관한 기사 위협 게시물, Lindsey O'Donnell은 연방 조치가 IoT 장치를 오랫동안 견뎌온 보안 및 개인 정보 보호 문제를 종식시키기 위해 고안되었으며 기존 산업 표준 및 모범 사례와 일치하는 방식으로 그렇게한다고 설명합니다. 그녀는 쓴다:
IoT 사이버 보안 개선법에는 여러 부분이 있습니다. 첫째, (National Institute of Standards and Technology)는 연방 정부가 소유 한 IoT 장치의 최소 보안을위한 표준 기반 지침을 발행해야합니다. 관리 예산 국 (OMB)은 또한 연방 민간 기관이 이러한 NIST 지침과 일치하는 정보 보안 정책을 갖도록 요구 사항을 구현해야합니다.
법에 따라 연방 기관은 IoT 장치에 대한 취약성 공개 정책도 구현해야하며 보안 지침을 충족하지 않는 장치는 조달 할 수 없습니다.
O'Donnell은 또한 네트워크 및 정보 보안을위한 유럽 연합기구의 보안 권장 사항과 암호 및 보안 업데이트에 대한 요구 사항을 발행하겠다는 영국의 약속을 통해 IoT를 규제하려는 노력이 전 세계적으로 계속 노력하고 있다고보고합니다.
Firefox 83에서 제공되는 HTTPS 전용 모드
83 월 17 일에 출시 된 Mozilla의 Firefox XNUMX은 사용자에게 HTTPS 전용 모드. 이를 활성화하면 브라우저가 자동으로 HTTPS 연결을 찾고 보안 연결을 지원하지 않는 사이트로 이동하기 전에 권한을 요청합니다. Mozilla의 블로그 게시물 데이터를 훔치거나 훼손하려는 사람들은 일반 HTTP 프로토콜을 볼 수 있습니다. HTTP를 통해 TLS및 HTTPS, 브라우저와 방문중인 웹 사이트간에 암호화 된 연결을 만들어 공격자가 읽을 수없는 문제를 수정합니다.
오늘날 대부분의 사이트는 HTTPS를 지원하지만 일부 사이트는 여전히 HTTP에 의존합니다. 또는 때로는 웹 사이트의 안전하지 않은 HTTP 버전이 북마크에 저장되거나 기존 링크를 통해 도달하는 웹 사이트이며, 보안 HTTPS 연결을 우선하는 브라우저의 도움없이 기본값이 될 수 있습니다.
Mozilla 블로그 설명, 이제 새 모드를 쉽게 켤 수 있습니다.
이 새로운 보안 강화 기능을 사용해보고 싶다면 HTTPS 전용 모드를 활성화하는 것은 간단합니다.
- Firefox의 메뉴 버튼을 클릭하고 "환경 설정"을 선택합니다.
- "개인 정보 및 보안"을 선택하고 "HTTPS 전용 모드"섹션으로 스크롤합니다.
- "모든 창에서 HTTPS 전용 모드 활성화"를 선택합니다.
Apple의 OCSP 요청 처리로 인해 개인 정보 문제가 제기 됨
이번 달에는 서버 문제가 Apple이 서명 된 애플리케이션 코드를 확인할 때 사용자에 대한 많은 정보를 추적하고 공개하고 있음이 드러난 후 몇 명의 사람들이 Big Sur에 대한 경고를 울 렸습니다. 기본적으로 인증서 확인 코드는 애플리케이션이 시작될 때마다 일반 텍스트 HTTP를 통해 개발자의 "디지털 지문"을 전송했습니다. 그게 무슨 뜻입니까? Thomas Claburn의 등록 충분히 간결하게:“Apple은 물론 네트워크 경로를 도청하는 모든 사람이 최소한 공용 IP 주소를 사용하여 사용하는 응용 프로그램 종류에 연결할 수 있습니다.”
이 정보가 공개 된 후 Apple은 더 이상 IP 주소를 기록하지 않겠다고 약속했습니다. 또한 등록 기사:
프라이버시를 더욱 보호하기 위해 개발자 ID 인증서 확인과 관련된 IP 주소 로깅을 중지했으며 수집 된 모든 IP 주소가 로그에서 제거되도록 할 것입니다.”라고 Apple은 말했습니다.
실리콘 밸리 타이탄은 또한 개발자 ID 인증서 해지 확인을위한 암호화 된 프로토콜을 구현하고 서버의 탄력성을 높이고 사용자에게 옵트 아웃 메커니즘을 제공 할 계획이라고 밝혔다. 등록 기관은 인증서 확인이 Apple에 의해 암호화 서명되어 있으므로 관찰 할 수는 있지만 탐지없이 전송 중에 변조 될 수 없음을 알고 있으므로 이제 Apple은 해당 통신 채널을 암호화로 래핑하여 눈을 훔쳐 보는 눈으로부터 보호합니다.
또한 Apple은 방화벽 및 VPN과 같은 타사 앱이 자체 앱 및 운영 체제 프로세스에서 Big Sur에있는 Apple 서버로가는 트래픽을 차단하거나 모니터링하는 것을 중지했습니다. 이것은 네트워크 트래픽을 포괄적으로 분석하거나 단순히 트래픽이 Apple 서버로 이동하는 것을 원하지 않는 사람들에게 문제입니다.
Register 기사는 엄숙한 어조를 취하지 만 꽤 측정됩니다. 보다 열정적 인 연말 해석을 위해 Jeffery Paul은 보안에 미치는 영향도 분석합니다. 자신의 블로그에서.
