SSL.com의 XNUMX 월호 보안 요약에 오신 것을 환영합니다. 여름이 왔고 전염병이 계속되고 디지털 보안에 대한 뉴스도 마찬가지입니다! 이번 달에는 다음 사항을 살펴 보겠습니다.
- 상원 의원은 새로운 "백도어"법안을 소개합니다
- 미국 정부는 모든 .gov 웹 사이트에서 HTTPS를 사용할 계획입니다.
- Comcast 및 Mozilla Strike Firefox DoH 거래
- AddTrust External CA 30 월 XNUMX 일 만료
상원, 필수 암호화 백도어 고려
이것은 일종의 yikes-y입니다. 많은 나라가 법 집행의 힘을 축소하는 것을 고려하고 있지만, 세 명의 상원 의원이 드라코 니안 빌 이로 인해 기술 회사는 법 집행 기관이 전송중인 데이터와 장치에있는 데이터에 액세스 할 수있는 암호화 체계 "백도어"를 만들게됩니다. Vice Magazine의 마더 보드 간결하게 넣어 그들의 헤드 라인, "암호화를 이해하지 못하는 공화당 원은이를 깨기 위해 법안을 도입합니다."
Lindsey Graham (R- 사우스 캐롤라이나), Tom Cotton (R-Arkansas) 및 Marsha Blackburn (R-Tennessee) 상원 의원의 법안은 기술 산업, 시민권 옹호자 및 상식을 가진 많은 사람들로부터 광범위하고 철저하게 비판을 받았습니다. Thomas Claburn의 기사 The Register에서 설명합니다.
이 법안은 당국이 "전자 장치에 저장된 정보에 액세스하거나 원격으로 저장된 전자 정보에 액세스 할 수 있도록" "장치 제조업체, 운영 체제 공급자, 원격 컴퓨팅 서비스 공급자 또는 다른 사람"과 같은 영장을 제시 한 모든 회사를 요구합니다. ”
암호화 처리 방법을 지정하지 않고 당국에 불편할 때 취소 할 수 있어야한다는 것입니다.
… 암호화는 또한 온라인 은행 계좌 및 웹 브라우징과 같은 것을 합리적으로 안전하게 유지함으로써 상당한 양의 범죄를 방지합니다. 수학적으로 백도어 지정 누구나 찾을 수있다, 가장 현명한 움직임이 아닐 수도 있습니다.
안타깝게도 이러한 입법 시도는 특별히 새로운 것이 아니며, 디지털 보안을 우회하려는 시도의 최근 게으른 반복 일뿐입니다.
모든 .gov 웹 사이트에서 HTTPS를 사용하는 미국 정부 계획
좋은 뒤늦은 뉴스에서 미국 정부는 발표했다 ".gov"도메인을 HSTS (HTTP Strict Transport Security) 사전로드 목록에 추가하려는 의도입니다. 현재 일부 정부 사이트에서는 모든 .gov 웹 서버가 기본적으로 HTTPS를 사용하는 지점에 도달하기 위해 사용자가 액세스 할 수 있도록 HTTP를 계속 제공 할 것입니다.
그러나 이것은 연방 정부이며,이 중 어느 것도 하룻밤 사이에 일어나지 않을 것이라는 점에 유의하는 것이 중요합니다. 오히려 미국은 HSTS 사전로드 목록에 .gov 도메인을 추가하기 위해 노력하고 있습니다. HTTPS를 통해 통신하도록 사용자 리디렉션 기본값으로.
~ 정부 아나운서t:
TLD를 미리로드하려는 의도를 발표했지만 실제로는 오늘 미리로드하지 않습니다. 그렇게하면 HTTPS를 제공하지 않는 일부 정부 웹 사이트는 사용자가 액세스 할 수 없게되며 서비스를 개선하는 과정에서 서비스에 부정적인 영향을 미치고 싶지 않습니다. 실제로 미리로드하는 것은 간단한 단계이지만이를 위해서는 공통 리소스를 사용하지만이 분야에서 자주 협력하지 않는 연방, 주, 지방 및 부족 정부 기관 간의 공동 노력이 필요합니다. 공동 노력으로. 정부 몇 년 안에.
한편, 같은 발표에 따르면 정부는 전환을 위해 개별 사이트를 준비하고 프레젠테이션 및 청취 세션을 개최하며 모든 것을 자동으로 미리로드 할 예정입니다. .gov 도메인은 XNUMX 월부터 시작됩니다. 그들은 또한 직면 할 것으로 예상되는 문제에 대한 정부 기관의 피드백을 위해 새로운 listserv를 만들었습니다.
Comcast 및 Mozilla Strike Firefox DoH 거래
Comcast는 최초의 인터넷 서비스 제공 업체입니다. Mozilla와 파트너 Firefox에서 암호화 된 DNS 조회를 제공합니다. 두 회사 간의 거래는 분쟁 후 ISP 개인 정보 보호 및 HTTPS를 통한 DNS가 사용자를 추적하고 자녀 보호와 같은 것을 유지하는 ISP의 기능을 제거하는지 여부.
Ars Technica의 Jon Brodkin 설명 Comcast는 Firefox의 Trusted Recursive Resolver 프로그램에 가입하고 Cloudflare 및 NextDNS에 가입 한 최초의 ISP가 될 것입니다. 이 기사에 따르면이 프로그램은 "암호화 된 DNS 공급자가 개인 정보 보호 및 투명성 기준 그리고 '리졸버가 운영되는 관할권의 법률에서 특별히 요구하지 않는 한'기본적으로 도메인을 차단하거나 필터링하지 않겠다고 서약합니다.”
이전에는 현재 두 파트너가 HTTPS를 통한 DNS에 동의하지 않았기 때문에 사람들이 DNS 조회 브라우저가 수행하는 작업을 볼 수 없어 ISP의 모니터링이 매우 어려워졌습니다. Ars Technica 기사에서 :
Comcast / Mozilla 파트너십은 ISP가 브라우저에서 HTTPS를 통해 DNS를 배포하려는 계획과 싸웠 기 때문에 주목할 만하 며, Mozilla의 기술 작업은 주로 ISP가 사용자의 검색을 스누핑하는 것을 방지하기위한 것입니다. 2019 년 XNUMX 월 Comcast가 속한 NCTA 케이블 로비를 포함한 업계 그룹은 편지 의회에 Google의 계획에 반대 Chrome 및 Android에서 암호화 된 DNS 용. 컴캐스트 의회 의원에게 a 로비 프레젠테이션 암호화 된 DNS 계획이 "Google을 통해 전 세계 DNS 데이터의 대부분을 집중화"하고 "한 공급자가 인터넷 트래픽 라우팅을 제어하고 소비자 및 경쟁사에 대한 방대한 양의 새로운 데이터를 제공 할 것"이라고 주장했습니다. Comcast의 로비 프레젠테이션은 Firefox에 대한 Mozilla의 계획에 대해서도 불평했습니다.
XNUMX 월의 Mozilla 고소 된 ISP 암호화 된 DNS에 대한 혼란을 확산시키기 위해 의회에 거짓말을하는 것입니다. 모질라 의회에 보내는 편지 Comcast를 비판하며 2014 년 사건 Comcast는 "공개 Wi-Fi 핫스팟에 연결된 사용자에게 광고를 주입하여 잠재적으로 웹 사이트에 새로운 보안 취약점을 만들었습니다." Mozilla는 Comcast 사건 및 Verizon 및 AT & T와 관련된 기타 사건으로 인해 "ISP가 개인 데이터를 남용한 광범위한 기록에 비추어 볼 때 [암호화 된 DNS를 구현하기위한] 이러한 사전 조치가 사용자를 보호하는 데 필요하다고 생각합니다."라고 말했습니다. Mozilla는 또한 광대역 개인 정보 보호 규칙이 없음을 지적했습니다. 의회에 의해 살해 2017 년 ISP의 요청에 따라.
그러나 XNUMX 월 현재 두 회사가 서명 한 계약과 Comcast의 암호화 된 DNS가 곧 Chrome에 출시 될 것으로 예상되는 과거로 보입니다.
AddTrust External CA 루트 인증서가 만료되었습니다.
AddTrust External CA 루트 인증서 만료 5 월 30, 2020. 대부분의 사용자는이 만료의 영향을받지 않지만 여전히 주목할 만합니다. 과거에 SSL.com 체인에서 발행 한 일부 인증서는 AddTrust 루트에 의해 교차 서명 된 중간 교차 서명을 통해 Sectigo의 USERTrust RSA CA 루트로 연결되었습니다. 이는 USERTrust 루트를 포함하지 않는 레거시 장치와의 호환성을 보장하기 위해 수행되었습니다.
다행히도 do 대부분의 USERTrust 루트는 만료의 영향을받지 않습니다. 이 경우 모든 최신 브라우저, 운영 체제 및 모바일 장치에 해당하는 소프트웨어는 USERTrust로 이어지는 신뢰 경로를 선택하고 만료 된 AddTrust 인증서를 무시합니다. 매월 초에이 모든 것을 설명 했으므로 자세한 내용을 찾고 있다면 2 월 XNUMX 일 블로그 게시물로 이동. 이전 장치와의 호환성을 유지하기 위해 SSL.com USERTrust 인증서가있는 웹 사이트 소유자는 아래 버튼을 통해 대체 중간 및 루트 인증서를 다운로드 할 수 있습니다.
이전 SSL /에 의존하는 사용자TLS OpenSSL 1.0.x 및 Gnu를 포함한 클라이언트TLS, 만료 된 AddTrust 인증서를 OS 루트 저장소에서 제거해야합니다. 우리를 참조하십시오 블로그 게시물 Red Hat Linux 및 Ubuntu 수정 사항에 대한 링크.
