Velkommen til denne juni-utgaven av SSL.coms Security Roundup. Sommeren er her, fortsetter pandemien, og det samme gjør nyhetene om digital sikkerhet! Denne måneden skal vi se på:
- Senatorene introduserer den nye "Bakdør" -regningen
- Den amerikanske regjeringen planlegger å bruke HTTPS på alle .gov-nettsteder
- Comcast og Mozilla Strike Firefox DoH Deal
- AddTrust External CA Utløpt 30. mai
Senatet for å vurdere manderte kryptering bakdører
Denne er slags yikes-y. Mens mye av landet vurderer å skalere tilbake lovhåndhevelsesmakten, har tre senatorer innført a Drakonisk regning som vil tvinge teknologiselskaper til å lage krypteringsplan "bakdører" som lar lovhåndhevelse få tilgang til data under transport og på enheter. Som Vice Magazine hovedkort legg den kortfattet inn overskriften deres, "Republikanere som ikke forstår kryptering, introduserer regningen for å bryte den."
Lovforslaget fra senatorer Lindsey Graham (R-South Carolina), Tom Cotton (R-Arkansas) og Marsha Blackburn (R-Tennessee) har blitt mye og grundig kritisert av teknologibransjen, borgerrettighetsforkjempere og mange med sunn fornuft. Som Thomas Claburn Artikkel i Registeret forklarer:
Regningen krever at enhver bedrift som blir presentert med en garanti - "enhetsprodusent, en operativsystemleverandør, en leverandør av ekstern databehandlingstjeneste eller en annen person" - for å hjelpe myndighetene med å "få tilgang til informasjon lagret på en elektronisk enhet eller få tilgang til eksternt lagret elektronisk informasjon. ”
Den spesifiserer ikke hvordan kryptering skal håndteres, bare at den skal kunne angres når den er ubeleilig for myndighetene ...
... Kryptering, skal det sies, forhindrer også en hel del kriminalitet ved å holde ting som bankkontoer på nettet og surfing rimelig sikre. Mandating en bakdør, som matematisk hvem som helst kunne finne, er kanskje ikke det klokeste trekket.
Dessverre er dette lovforsøket ikke engang spesielt nytt, bare den siste late iterasjonen av et forsøk på å omgå digital sikkerhet for å gjøre ting lettere for Powers That Be.
Amerikanske myndigheter planlegger å bruke HTTPS på alle .gov-nettsteder
I gode, forsinkede nyheter, den amerikanske regjeringen har annonsert dets hensikt å legge til ".gov" -domenet til HTTP Strict Transport Security (HSTS) forhåndsinnlastingsliste. Foreløpig vil noen myndighetsnettsteder fortsette å tilby HTTP for å holde dem tilgjengelige for brukere, med den hensikt å nå et punkt der alle .gov-webservere vil bruke HTTPS som standard.
Men dette er den føderale regjeringen, og det er viktig å merke seg at ingenting av dette vil finne sted over natten. Snarere jobber USA for å sette .gov-domenet på HSTS-forhåndsinnlastingslisten, som til slutt vil omdirigere brukere til å kommunisere via HTTPS som standard.
Fra regjeringen kunngjøreret:
Merk at vi kunngjør en intensjon om å forhåndsinnlaste TLD, men ikke faktisk forhåndsinnlaste den i dag. Hvis vi gjorde det, ville noen offentlige nettsteder som ikke tilbyr HTTPS bli utilgjengelige for brukere, og vi ønsker ikke å påvirke tjenester negativt på vår måte å forbedre dem på! Faktisk forhåndsbelastning er et enkelt skritt, men å komme dit vil kreve samordnet innsats blant de føderale, statlige, lokale og stammelige regjeringsorganisasjoner som bruker en felles ressurs, men ikke ofte jobber sammen i dette området ... Med samordnet innsats kan vi forhåndsinnlaste. gov i løpet av noen år.
I mellomtiden, i samsvar med den samme kunngjøringen, vil regjeringen forberede individuelle nettsteder for overgangen, holde presentasjoner og lytteøkter og automatisk forhåndslaste alle nytt .gov-domener som begynner i september. De har også laget en ny listserv for tilbakemeldinger fra offentlige etater om utfordringer de forventer å møte.
Comcast og Mozilla Strike Firefox DoH Deal
Comcast er den første Internett-leverandøren til samarbeid med Mozilla for å gi krypterte DNS-oppslag i Firefox. Avtalen mellom de to selskapene kommer etter en tvist over ISP-personvern og om DNS via HTTPS tar bort ISP-enes mulighet til å spore brukere og opprettholde ting som foreldrekontroll.
Jon Brodkin i Ars Technica forklarer at Comcast vil være den første ISP-en som blir med i Firefox sitt Trusted Recursive Resolver-program, og blir medlem av Cloudflare og NextDNS. I henhold til denne artikkelen krever programmet "krypterte DNS-leverandører for å møte kriterier for personvern og åpenhet og forplikter seg til ikke å blokkere eller filtrere domener som standard 'med mindre det er spesifikt påkrevd av loven i jurisdiksjonen der resolveren opererer'. ”
Tidligere var de to nå-partnerne uenige om DNS over HTTPS, noe som forhindrer folk fra å se hva DNS-oppslag nettlesere gjør, noe som gjør overvåking av ISP-er ganske vanskelig. Fra Ars Technica-artikkelen:
Comcast / Mozilla-partnerskapet er bemerkelsesverdig fordi Internett-leverandører har kjempet mot planer om å distribuere DNS over HTTPS i nettlesere, og Mozillas arbeid med teknologien er i stor grad ment å forhindre at ISP-er fra å lure på brukernes surfing. I september 2019 skrev bransjegrupper, inkludert NCTA-kabellobbyen som Comcast tilhører, a brev til kongressen motsetter seg Googles planer for kryptert DNS i Chrome og Android. Comcast ga medlemmer av Kongressen a lobbypresentasjon som hevdet at den krypterte DNS-planen ville "sentralisere [e] et flertall av verdensomspennende DNS-data med Google" og "gi en leverandør kontroll over ruting av internettrafikk og store mengder nye data om forbrukere og konkurrenter." Comcasts lobbypresentasjon klaget også over Mozillas plan for Firefox.
Mozilla i november anklagede ISP-er av å lyve for kongressen for å spre forvirring om kryptert DNS. Mozilla's brev til kongressen kritiserte Comcast og pekte på et hendelsen i 2014 der Comcast “injiserte annonser til brukere som er koblet til sine offentlige Wi-Fi-hotspots, noe som potensielt kan skape nye sikkerhetsproblemer på nettsteder.” Mozilla sa at på grunn av Comcast-hendelsen og andre som involverte Verizon og AT&T, "Vi mener at slike proaktive tiltak [for å implementere kryptert DNS] har blitt nødvendige for å beskytte brukere i lys av den omfattende oversikten over misbruk av ISP av personlige data." Mozilla påpekte også landets mangel på personvernregler for bredbånd drept av kongressen i 2017 på forespørsel fra Internett-leverandører.
Men det ser ut til å være i fortiden, med en signert avtale mellom de to selskapene fra mars, og en forventning om at Comcasts krypterte DNS vil komme til Chrome snart også.
AddTrust External CA Rootsertifikatet er utløpt
De AddTrust External CA rotsertifikat utløpt i mai 30, 2020. Selv om de fleste brukere ikke blir berørt av denne utløpet, er det fortsatt verdt å merke seg. Noen sertifikater utstedt tidligere av SSL.com-kjeden til Sectigos USERTrust RSA CA-rot via et mellomliggende kryssignert av AddTrust-roten. Dette ble gjort for å sikre kompatibilitet med eldre enheter som ikke inkluderer USERTrust-roten.
Heldigvis enheter som do inkluderer USERTrust-roten, som er de aller fleste, vil ikke bli påvirket av utløpet. I så fall, som vil være sant for alle moderne nettlesere, operativsystemer og mobile enheter, vil programvaren ganske enkelt velge en tillitsvei som fører til USERTrust og ignorere det utløpte AddTrust-sertifikatet. Vi forklarte alt dette i begynnelsen av måneden, så hvis du leter etter flere detaljer, vil du kanskje gå over til vårt 2. juni-blogginnlegg. For å opprettholde kompatibilitet med eldre enheter kan nettsideeiere med SSL.com USERTrust-sertifikater laste ned erstatning mellomliggende og rotsertifikater via knappene nedenfor:
LAST NED INDIVIDUELLE SERTIFIKATER
LAST NED BUNDLEDE SERTIFIKATER
Brukere som stoler på eldre SSL /TLS klienter, inkludert OpenSSL 1.0.x og GnuTLS, bør fjerne det utgåtte AddTrust-sertifikatet fra OS-rotlageret. Se vår blogginnlegg for lenker til rettelser for Red Hat Linux og Ubuntu.