Ferien er på en eller annen måte her, og det samme er SSL.com-nyhetsbrevet i november. I år kan ferieprep virke mer overveldende enn noensinne. Det kan til og med virke som å holde oversikt over internett-sikkerheten din er for skremmende en oppgave å takle. Vi er her for å fortelle deg at den typen tenkning er tull - bare se på alle ting som skjedde i forrige måned!
SSL.com støtter ACME-protokollen
13. november SSL.com annonsert støtte for ACME-protokollen. Nå kan kundene våre enkelt dra nytte av denne populære SSL /TLS automatiseringsverktøy.
Opprinnelig utviklet Internet Security Research Group og publisert som en internettstandard i RFC 8555, Forenkler ACME fornyelse og erstatning av SSL /TLS sertifikater. Det gjør det lettere for eiere av nettsteder å holde seg oppdatert med sertifikater på nettstedene sine.
Du kan finne ut mer om fordelene med SSL.coms ACME-implementering i vår blogginnlegg kunngjør lanseringen. Når du er klar til å komme i gang, kan du sjekke ut vår veilede til sertifikatutstedelse og tilbakekalling med ACME, og vårt how-to på ACME-automatisering for Apache- og Nginx-serverplattformene.
Kongressen godkjenner IoT Cybersecurity Bill
Bestått av den amerikanske kongressen 17. november 2020 og går til Det hvite hus for presidentens signatur, the Internet of Things Cybersecurity Improvement Act "Krever at National Institute of Standards and Technology (NIST) og Office of Management and Budget (OMB) tar spesifikke skritt for å øke cybersikkerhet for Internet of Things (IoT) -enheter."
In en artikkel om Trussel innlegg, Forklarer Lindsey O'Donnell at det føderale tiltaket er utformet for å få slutt på sikkerhets- og personvernproblemene som IOT-enheter lenge har gått, og det gjør det på en måte som samsvarer med eksisterende industristandarder og beste praksis. Hun skriver:
IoT Cybersecurity Improvement Act har flere forskjellige deler. For det første mandater det at (National Institute of Standards and Technology) må utstede standardbaserte retningslinjer for minst mulig sikkerhet for IoT-enheter som eies av den føderale regjeringen. Office of Management and Budget (OMB) må også implementere krav til føderale sivile byråer om å ha informasjonssikkerhetspolitikk som er i samsvar med disse NIST-retningslinjene.
I henhold til loven må føderale byråer også implementere en policy for avsløring av sårbarheter for IoT-enheter, og de kan ikke skaffe enheter som ikke oppfyller sikkerhetsretningslinjene.
O'Donnell rapporterer videre at innsatsen for å regulere IoT fortsetter å være en verdensomspennende innsats, med sikkerhetsanbefalinger fra EUs agentur for nettverks- og informasjonssikkerhet og løfter fra Storbritannia om å utstede krav til passord og sikkerhetsoppdateringer.
HTTPS-Only Mode tilbys i Firefox 83
Mozillas Firefox 83, utgitt 17. november, tilbyr brukerne en Kun HTTPS-modus. Ved å aktivere det vil nettleseren automatisk oppsøke HTTPS-tilkoblinger og be om tillatelse før du går videre til et nettsted som ikke støtter sikre tilkoblinger. Som Mozilla blogginnlegg minner oss om at den vanlige HTTP-protokollen kan vises av de som ønsker å stjele eller tukle med data. HTTP over TLSeller HTTPS, løser det ved å opprette en kryptert forbindelse mellom nettleseren din og nettstedet du besøker, som potensielle angripere ikke kan lese.
Selv om de fleste nettsteder i dag støtter HTTPS, er noen nettsteder fortsatt avhengige av HTTP. Eller noen ganger er en usikker HTTP-versjon av et nettsted den som er lagret i bokmerkene dine eller nås via eldre lenker, og kan være standard uten hjelp fra en nettleser som prioriterer sikre HTTPS-tilkoblinger.
Som Mozilla-bloggen forklarerå slå på den nye modusen nå er enkelt:
Hvis du er ivrig etter å prøve denne nye sikkerhetsforbedrende funksjonen, er det enkelt å aktivere HTTPS-modus:
- Klikk på Firefox menyknapp og velg “Innstillinger”.
- Velg "Personvern og sikkerhet" og bla ned til seksjonen "Bare HTTPS-modus".
- Velg "Aktiver kun HTTPS-modus i alle vinduer".
Apples håndtering av OCSP-forespørsler øker personvernet
Denne måneden slo et par mennesker alarm om Big Sur etter at serverproblemer avslørte at Apple sporer og avslører en hel del om brukerne når de sjekker signert applikasjonskode. I hovedsak sendte sertifikatkontrollkoden ut en utviklers “digitale fingeravtrykk” via HTTP i ren tekst hver gang et program ble lansert. Hva betyr det? Thomas Claburn av Registeret sier det kortfattet nok: "Apple, så vel som alle som lytter til nettverksstien, kan i det minste knytte deg til din offentlige IP-adresse til de applikasjonene du bruker."
I kjølvannet av at denne informasjonen ble offentliggjort, lovet Apple ikke lenger å logge IP-adresser. Også fra Registeret Artikkel:
For å beskytte personvernet ytterligere har vi sluttet å logge IP-adresser tilknyttet Developer ID-sertifikatkontroller, og vi vil sørge for at alle innsamlede IP-adresser blir fjernet fra loggene, ”sa Apple.
Silicon Valley titan sa også at de planlegger å implementere en kryptert protokoll for tilbakekallingskontroller av utvikler-ID-sertifikat, å ta skritt for å gjøre serverne mer motstandsdyktige og å gi brukerne en opt-out-mekanisme. Registeret forstår at sertifikatkontrollene er kryptografisk signert av Apple, så de kan ikke tukles med under transport uten oppdagelse, selv om de kan observeres, og så nå vil Apple pakke den kommunikasjonskanalen i kryptering for å beskytte den mot nysgjerrige øyne.
I tillegg har Apple sluttet å la tredjepartsapper som brannmurer og VPN-er blokkere eller overvåke trafikk fra egne apper og operativsystemprosesser til Apples servere i Big Sur. Dette er et problem for de som ønsker å analysere nettverkstrafikken deres grundig, eller rett og slett ikke vil at trafikken skal gå til Apple-servere.
Selv om Register-artikkelen tar en høytidelig tone, er den ganske målt. For en mer lidenskapelig tolkning i slutten av dagen, bryter Jeffery Paul også sikkerhetsimplikasjonene på bloggen sin.
