Juni 2020 Sikkerhet Roundup

Juni sikkerhetsnyheter fra SSL.com: Senatet foreslår kryptering bakdører, HTTPS for .gov, DoH med Firefox og Comcast, AddTrust External CA rot utløper.

Relatert innhold

Vil du fortsette å lære?

Abonner på SSL.coms nyhetsbrev, hold deg informert og sikker.

Velkommen til denne juni-utgaven av SSL.coms Security Roundup. Sommeren er her, fortsetter pandemien, og det samme gjør nyhetene om digital sikkerhet! Denne måneden skal vi se på:

Hvis du leter etter en SSL /TLS sertifikat for nettstedet ditt, ta en titt på SSL.coms rimelige, høye verdi alternativer.

Senatet for å vurdere manderte kryptering bakdører

Denne er slags yikes-y. Mens mye av landet vurderer å skalere tilbake lovhåndhevelsesmakten, har tre senatorer innført a Drakonisk regning som vil tvinge teknologiselskaper til å lage krypteringsplan "bakdører" som lar lovhåndhevelse få tilgang til data under transport og på enheter. Som Vice Magazine hovedkort legg den kortfattet inn overskriften deres, "Republikanere som ikke forstår kryptering, introduserer regningen for å bryte den."

Lovforslaget fra senatorer Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas) og Marsha Blackburn (R-Tennessee) har blitt mye og grundig kritisert av teknologibransjen, borgerrettighetsforkjempere og mange med sunn fornuft. Som Thomas Claburn Artikkel i Registeret forklarer:

Regningen krever at enhver bedrift som blir presentert med en garanti - "enhetsprodusent, en operativsystemleverandør, en leverandør av ekstern databehandlingstjeneste eller en annen person" - for å hjelpe myndighetene med å "få tilgang til informasjon lagret på en elektronisk enhet eller få tilgang til eksternt lagret elektronisk informasjon. ”

 Den spesifiserer ikke hvordan kryptering skal håndteres, bare at den skal kunne angres når den er ubeleilig for myndighetene ...

 ... Kryptering, skal det sies, forhindrer også en hel del kriminalitet ved å holde ting som bankkontoer på nettet og surfing rimelig sikre. Mandating en bakdør, som matematisk hvem som helst kunne finne, er kanskje ikke det klokeste trekket.

Dessverre er dette lovforsøket ikke engang spesielt nytt, bare den siste late iterasjonen av et forsøk på å omgå digital sikkerhet for å gjøre ting lettere for Powers That Be.

SSL.coms takeaway: SSL.com støtter ikke usikkerhet fra myndighetene - når end-to-end-kryptering er forbudt, vil bare lovløse ha end-to-end-kryptering. Legg også merke til dette sitatet fra Vice-artikkelen: 'Den eneste advarselen er "med mindre de uavhengige handlingene til en ikke-tilknyttet enhet gjør det teknisk umulig å gjøre det," som ser ut til å utelukke den nåværende virkeligheten, som er at teknologibedrifter selv har gjort det umulig å dekryptere data som er lagret på en telefon kryptert med et passord, eller meldinger som utveksles i ende-til-ende-krypterte apper. '

Amerikanske myndigheter planlegger å bruke HTTPS på alle .gov-nettsteder

I gode, forsinkede nyheter, den amerikanske regjeringen har annonsert dets hensikt å legge til ".gov" -domenet til HTTP Strict Transport Security (HSTS) forhåndsinnlastingsliste. Foreløpig vil noen myndighetsnettsteder fortsette å tilby HTTP for å holde dem tilgjengelige for brukere, med den hensikt å nå et punkt der alle .gov-webservere vil bruke HTTPS som standard.

Men dette er den føderale regjeringen, og det er viktig å merke seg at ingenting av dette vil finne sted over natten. Snarere jobber USA for å sette .gov-domenet på HSTS-forhåndsinnlastingslisten, som til slutt vil omdirigere brukere til å kommunisere via HTTPS som standard.

Fra regjeringen kunngjøreret:

Merk at vi kunngjør en intensjon om å forhåndsinnlaste TLD, men ikke faktisk forhåndsinnlaste den i dag. Hvis vi gjorde det, ville noen offentlige nettsteder som ikke tilbyr HTTPS bli utilgjengelige for brukere, og vi ønsker ikke å påvirke tjenester negativt på vår måte å forbedre dem på! Faktisk forhåndsbelastning er et enkelt skritt, men å komme dit vil kreve samordnet innsats blant de føderale, statlige, lokale og stammelige regjeringsorganisasjoner som bruker en felles ressurs, men ikke ofte jobber sammen i dette området ... Med samordnet innsats kan vi forhåndsinnlaste. gov i løpet av noen år.

I mellomtiden, i samsvar med den samme kunngjøringen, vil regjeringen forberede individuelle nettsteder for overgangen, holde presentasjoner og lytteøkter og automatisk forhåndslaste alle nytt .gov-domener som begynner i september. De har også laget en ny listserv for tilbakemeldinger fra offentlige etater om utfordringer de forventer å møte.

SSL.coms takeaway:  Alle nettsteder overalt bør bruke HTTPS nå, så dette er en god idé, selv om den går sakte. Vi tar det vi kan få!

Comcast og Mozilla Strike Firefox DoH Deal

Comcast er den første Internett-leverandøren til samarbeid med Mozilla for å gi krypterte DNS-oppslag i Firefox. Avtalen mellom de to selskapene kommer etter en tvist over ISP-personvern og om DNS via HTTPS tar bort ISP-enes mulighet til å spore brukere og opprettholde ting som foreldrekontroll.

Jon Brodkin i Ars Technica forklarer at Comcast vil være den første ISP-en som blir med i Firefox sitt Trusted Recursive Resolver-program, og blir medlem av Cloudflare og NextDNS. I henhold til denne artikkelen krever programmet "krypterte DNS-leverandører for å møte kriterier for personvern og åpenhet og forplikter seg til ikke å blokkere eller filtrere domener som standard 'med mindre det er spesifikt påkrevd av loven i jurisdiksjonen der resolveren opererer'. ”

Tidligere var de to nå-partnerne uenige om DNS over HTTPS, noe som forhindrer folk fra å se hva DNS-oppslag nettlesere gjør, noe som gjør overvåking av ISP-er ganske vanskelig. Fra Ars Technica-artikkelen:

Comcast / Mozilla-partnerskapet er bemerkelsesverdig fordi Internett-leverandører har kjempet mot planer om å distribuere DNS over HTTPS i nettlesere, og Mozillas arbeid med teknologien er i stor grad ment å forhindre at ISP-er fra å lure på brukernes surfing. I september 2019 skrev bransjegrupper, inkludert NCTA-kabellobbyen som Comcast tilhører, a brev til kongressen motsetter seg Googles planer for kryptert DNS i Chrome og Android. Comcast ga medlemmer av Kongressen a lobbypresentasjon som hevdet at den krypterte DNS-planen ville "sentralisere [e] et flertall av verdensomspennende DNS-data med Google" og "gi en leverandør kontroll over ruting av internettrafikk og store mengder nye data om forbrukere og konkurrenter." Comcasts lobbypresentasjon klaget også over Mozillas plan for Firefox.

Mozilla i november anklagede ISP-er av å lyve for kongressen for å spre forvirring om kryptert DNS. Mozilla's brev til kongressen kritiserte Comcast og pekte på et hendelsen i 2014 der Comcast “injiserte annonser til brukere som er koblet til sine offentlige Wi-Fi-hotspots, noe som potensielt kan skape nye sikkerhetsproblemer på nettsteder.” Mozilla sa at på grunn av Comcast-hendelsen og andre som involverte Verizon og AT&T, "Vi mener at slike proaktive tiltak [for å implementere kryptert DNS] har blitt nødvendige for å beskytte brukere i lys av den omfattende oversikten over misbruk av ISP av personlige data." Mozilla påpekte også landets mangel på personvernregler for bredbånd drept av kongressen i 2017 på forespørsel fra Internett-leverandører.

Men det ser ut til å være i fortiden, med en signert avtale mellom de to selskapene fra mars, og en forventning om at Comcasts krypterte DNS vil komme til Chrome snart også.

SSL.coms takeaway: Det er bra å se en ISP komme ombord med kryptert DNS, men du bør likevel lese Comcasts Xfinity personvernregler hvis du er kunde.

AddTrust External CA Rootsertifikatet er utløpt

De AddTrust External CA rotsertifikat utløpt i mai 30, 2020. Selv om de fleste brukere ikke blir berørt av denne utløpet, er det fortsatt verdt å merke seg. Noen sertifikater utstedt tidligere av SSL.com-kjeden til Sectigos USERTrust RSA CA-rot via et mellomliggende kryssignert av AddTrust-roten. Dette ble gjort for å sikre kompatibilitet med eldre enheter som ikke inkluderer USERTrust-roten.

Heldigvis enheter som do inkluderer USERTrust-roten, som er de aller fleste, vil ikke bli påvirket av utløpet. I så fall, som vil være sant for alle moderne nettlesere, operativsystemer og mobile enheter, vil programvaren ganske enkelt velge en tillitsvei som fører til USERTrust og ignorere det utløpte AddTrust-sertifikatet. Vi forklarte alt dette i begynnelsen av måneden, så hvis du leter etter flere detaljer, vil du kanskje gå over til vårt 2. juni-blogginnlegg. For å opprettholde kompatibilitet med eldre enheter kan nettsideeiere med SSL.com USERTrust-sertifikater laste ned erstatning mellomliggende og rotsertifikater via knappene nedenfor:

LAST NED INDIVIDUELLE SERTIFIKATER

LAST NED BUNDLEDE SERTIFIKATER

Brukere som stoler på eldre SSL /TLS klienter, inkludert OpenSSL 1.0.x og GnuTLS, bør fjerne det utgåtte AddTrust-sertifikatet fra OS-rotlageret. Se vår blogginnlegg for lenker til rettelser for Red Hat Linux og Ubuntu.

SSL.coms takeaway: Hvis du har USERTrust-sertifikater utstedt av SSL.com, kan du (og bør!) Laste ned en ny CA-pakke fra nettstedet vårt og installer dem på serveren din.
Takk for at du besøkte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.

 

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.