De feestdagen zijn er op de een of andere manier, en dat geldt ook voor de nieuwsbrief van november SSL.com. Dit jaar lijkt vakantievoorbereiding misschien overweldigender dan ooit. Het lijkt misschien zelfs alsof het een te ontmoedigende taak is om uw internetbeveiliging onder controle te houden. We zijn hier om je te vertellen dat dit soort denken onzin is - kijk eens naar alle dingen die vorige maand zijn gebeurd!
SSL.com ondersteunt het ACME-protocol
Op 13 november, SSL.com aangekondigd ondersteuning voor het ACME-protocol. Nu kunnen onze klanten gemakkelijk profiteren van deze populaire SSL /TLS automatiseringstool.
Oorspronkelijk ontwikkeld door de Internet Security Research Group en gepubliceerd als internetstandaard in RFC 8555, ACME vereenvoudigt vernieuwing en vervanging van SSL /TLS certificaten. Dat maakt het voor website-eigenaren gemakkelijker om up-to-date te blijven met certificaten op hun sites.
U kunt meer lezen over de voordelen van de ACME-implementatie van SSL.com in onze blogpost aankondiging van de lancering. Als je klaar bent om te beginnen, bekijk dan onze gids om uitgifte en intrekking van certificaten bij ACME en onze hoe op ACME-automatisering voor de Apache- en Nginx-serverplatforms.
Congres keurt IoT Cybersecurity Bill goed
Aangenomen door het Amerikaanse Congres op 17 november 2020 en op weg naar het Witte Huis voor de handtekening van de president, de Wet ter verbetering van de cyberbeveiliging van het Internet of Things "Vereist dat het National Institute of Standards and Technology (NIST) en het Office of Management and Budget (OMB) specifieke stappen ondernemen om de cyberbeveiliging voor Internet of Things (IoT) -apparaten te vergroten."
In een artikel over Threat PostLindsey O'Donnell legt uit dat de federale maatregel bedoeld is om een einde te maken aan de beveiligings- en privacyproblemen waarmee IoT-apparaten al lang te kampen hebben, en wel op een manier die aansluit bij de bestaande industriestandaarden en best practices. Zij schrijft:
De IoT Cybersecurity Improvement Act bestaat uit verschillende onderdelen. Ten eerste schrijft het voor dat (National Institute of Standards and Technology) op standaarden gebaseerde richtlijnen moet uitvaardigen voor de minimale beveiliging van IoT-apparaten die eigendom zijn van de federale overheid. Het Office of Management and Budget (OMB) moet ook vereisten implementeren voor federale civiele agentschappen om informatiebeveiligingsbeleid te hebben dat consistent is met deze NIST-richtlijnen.
Volgens de wet moeten federale agentschappen ook een beleid voor het vrijgeven van kwetsbaarheden invoeren voor IoT-apparaten en kunnen ze geen apparaten aanschaffen die niet voldoen aan de beveiligingsrichtlijnen.
O'Donnell meldt verder dat de inspanning om het IoT te reguleren een wereldwijde inspanning blijft, met veiligheidsaanbevelingen van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging en belooft vanuit het Verenigd Koninkrijk om eisen te stellen aan wachtwoorden en beveiligingsupdates.
Alleen HTTPS-modus aangeboden in Firefox 83
Mozilla's Firefox 83, uitgebracht op 17 november, biedt gebruikers een HTTPS-modus. Door dit in te schakelen, zal de browser automatisch HTTPS-verbindingen zoeken en om toestemming vragen voordat hij doorgaat naar een site die geen beveiligde verbindingen ondersteunt. Zoals Mozilla's blogpost herinnert ons eraan dat het normale HTTP-protocol kan worden bekeken door degenen die gegevens willen stelen of ermee willen knoeien. HTTP over TLSof HTTPS, lost dit op door een gecodeerde verbinding tot stand te brengen tussen uw browser en de website die u bezoekt, die potentiële aanvallers niet kunnen lezen.
Hoewel de meeste sites tegenwoordig HTTPS ondersteunen, vertrouwen sommige sites nog steeds op HTTP. Of soms is een onveilige HTTP-versie van een website de versie die is opgeslagen in uw bladwijzers of die wordt bereikt via verouderde links, en kan de standaardversie zijn zonder de hulp van een browser die prioriteit geeft aan veilige HTTPS-verbindingen.
Zoals de Mozilla-blog legt uit, het inschakelen van de nieuwe modus is nu eenvoudig:
Als u deze nieuwe beveiligingsfunctie wilt proberen, is het inschakelen van alleen HTTPS-modus eenvoudig:
- Klik op de menuknop van Firefox en kies "Voorkeuren".
- Selecteer "Privacy en beveiliging" en scrol omlaag naar de sectie "Alleen HTTPS-modus".
- Kies "HTTPS-modus inschakelen in alle vensters".
De afhandeling van OCSP-verzoeken door Apple geeft aanleiding tot bezorgdheid over de privacy
Deze maand hebben een paar mensen alarm geslagen over Big Sur nadat serverproblemen onthulden dat Apple veel over zijn gebruikers volgt en onthult bij het controleren van ondertekende applicatiecode. In wezen verstuurde de certificaatcontrolecode de "digitale vingerafdruk" van een ontwikkelaar via platte tekst HTTP telkens wanneer een toepassing werd gestart. Wat betekent dat? Thomas Claburn van Het register zegt het bondig genoeg: "Apple en iedereen die op het netwerkpad afluistert, kan u op zijn minst door middel van uw openbare IP-adres koppelen aan de soorten applicaties die u gebruikt."
Nadat deze informatie openbaar werd gemaakt, beloofde Apple om geen IP-adressen meer te loggen. Ook van Het register dit artikel:
Om de privacy verder te beschermen, zijn we gestopt met het loggen van IP-adressen die zijn gekoppeld aan certificaatcontroles van ontwikkelaars-ID's, en we zullen ervoor zorgen dat alle verzamelde IP-adressen worden verwijderd uit logboeken, ”zei Apple.
De Silicon Valley-titan zei ook dat het van plan is een gecodeerd protocol te implementeren voor intrekkingscontroles van ontwikkelaars-ID-certificaten, stappen te ondernemen om zijn servers veerkrachtiger te maken en gebruikers een opt-out-mechanisme te bieden. Het register begrijpt dat de certificaatcontroles cryptografisch zijn ondertekend door Apple, zodat er tijdens het transport niet zonder detectie mee kan worden geknoeid, hoewel ze wel kunnen worden waargenomen, en daarom zal Apple dat communicatiekanaal nu versleutelen om het tegen nieuwsgierige blikken te beschermen.
Bovendien staat Apple niet meer toe dat apps van derden, zoals firewalls en VPN's, verkeer van hun eigen apps en besturingssysteemprocessen naar de servers van Apple in Big Sur blokkeren of controleren. Dit is een probleem voor degenen die hun netwerkverkeer uitgebreid willen analyseren, of gewoon niet willen dat hun verkeer naar Apple-servers gaat.
Hoewel het Register-artikel een plechtige toon aanneemt, is het behoorlijk afgemeten. Voor een meer gepassioneerde end-of-day-interpretatie breekt Jeffery Paul ook de veiligheidsimplicaties uit Op zijn blog.
