Podsumowanie bezpieczeństwa w listopadzie 2020 r

W jakiś sposób święta są tutaj, podobnie jak listopadowy biuletyn SSL.com. W tym roku przygotowania do wakacji mogą wydawać się bardziej przytłaczające niż kiedykolwiek. Może się nawet wydawać, że kontrolowanie bezpieczeństwa w Internecie jest zbyt trudnym zadaniem. Jesteśmy tutaj, aby powiedzieć Ci, że ten rodzaj myślenia to nonsens - spójrz tylko na wszystkie rzeczy, które wydarzyły się w zeszłym miesiącu!

SSL.com obsługuje protokół ACME

Logo ACME

13 listopada SSL.com ogłosił obsługa protokołu ACME. Teraz nasi klienci mogą z łatwością korzystać z tego popularnego SSL /TLS narzędzie do automatyzacji.

Pierwotnie opracowany przez Internet Security Research Group i opublikowany jako standard internetowy w RFC 8555, ACME upraszcza odnawianie i wymianę SSL /TLS certyfikaty. Dzięki temu właściciele witryn mogą być na bieżąco z certyfikatami w swoich witrynach.

Możesz dowiedzieć się więcej o zaletach implementacji ACME SSL.com w naszym blogu ogłaszając uruchomienie. Kiedy będziesz gotowy, aby rozpocząć, sprawdź nasze poprowadzi do wydawania i unieważniania certyfikatów z ACME i naszymi jak to zrobić na temat automatyzacji ACME dla platform serwerowych Apache i Nginx.

Na wynos SSL.com: Cieszymy się, że możemy zaoferować ten popularny protokół naszym klientom i mamy nadzieję, że wkrótce go wypróbujesz!
Przejdź do góry

Kongres zatwierdza ustawę o cyberbezpieczeństwie IoT

Przeszedł przez Kongres Stanów Zjednoczonych 17 listopada 2020 r. I udał się do Białego Domu na podpis prezydenta Ustawa o poprawie cyberbezpieczeństwa Internetu przedmiotów „Wymaga od National Institute of Standards and Technology (NIST) oraz Office of Management and Budget (OMB) podjęcia określonych kroków w celu zwiększenia cyberbezpieczeństwa urządzeń Internetu rzeczy (IoT)”.

In artykuł na temat Poczta zagrożeniaLindsey O'Donnell wyjaśnia, że ​​środek federalny ma na celu położenie kresu problemom bezpieczeństwa i prywatności, które od dawna nękały urządzenia IoT, i robi to w sposób zgodny z istniejącymi standardami branżowymi i najlepszymi praktykami. Ona pisze:

Ustawa o poprawie cyberbezpieczeństwa Internetu rzeczy składa się z kilku różnych części. Po pierwsze, nakazuje (National Institute of Standards and Technology) wydać oparte na standardach wytyczne dotyczące minimalnego bezpieczeństwa urządzeń IoT, które są własnością rządu federalnego. Biuro Zarządzania i Budżetu (OMB) musi również wdrożyć wymagania dla federalnych agencji cywilnych, aby posiadały politykę bezpieczeństwa informacji, która jest zgodna z wytycznymi NIST.
Zgodnie z prawem agencje federalne muszą również wdrożyć politykę ujawniania luk w zabezpieczeniach urządzeń IoT i nie mogą zamawiać urządzeń, które nie spełniają wytycznych dotyczących bezpieczeństwa.

O'Donnell dalej informuje, że wysiłki zmierzające do uregulowania IoT są nadal wysiłkiem ogólnoświatowym, z zaleceniami dotyczącymi bezpieczeństwa wydanymi przez Agencję Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji, a Wielka Brytania obiecuje wydanie wymagań dotyczących haseł i aktualizacji zabezpieczeń.

Na wynos SSL.com: Biorąc pod uwagę wiele niedawnych problemów związanych z bezpieczeństwem „inteligentnych” urządzeń i ich gwałtowne rozprzestrzenianie się na rynku, cieszymy się, że Kongres Stanów Zjednoczonych robi krok we właściwym kierunku, aby ustanowić standardy bezpieczeństwa IoT i najlepsze praktyki dla rządu federalnego.
Przejdź do góry

Tylko tryb HTTPS oferowany w przeglądarce Firefox 83

Mozilla Firefox 83, wydana 17 listopada, oferuje użytkownikom rozszerzenie Tylko tryb HTTPS. Włączając to, przeglądarka automatycznie wyszukuje połączenia HTTPS i prosi o pozwolenie przed przejściem do witryny, która nie obsługuje bezpiecznych połączeń. Jak Mozilla blogu przypomina nam, że zwykły protokół HTTP jest widoczny dla tych, którzy chcą ukraść lub zmodyfikować dane. HTTP over TLSlub HTTPS, rozwiązuje ten problem, tworząc zaszyfrowane połączenie między przeglądarką a odwiedzaną witryną, której potencjalni napastnicy nie mogą odczytać. 

Chociaż obecnie większość witryn obsługuje protokół HTTPS, niektóre witryny nadal korzystają z protokołu HTTP. Czasami niezabezpieczona wersja witryny HTTP jest przechowywana w zakładkach lub dostępna za pośrednictwem starszych linków i może być domyślna bez pomocy przeglądarki, która nadaje priorytet bezpiecznym połączeniom HTTPS.

Jako blog Mozilli wyjaśnia, włączenie nowego trybu jest teraz łatwe:

Jeśli chcesz wypróbować tę nową funkcję zwiększającą bezpieczeństwo, włączenie trybu Tylko HTTPS jest proste:

  1. Kliknij przycisk menu przeglądarki Firefox i wybierz „Preferencje”.
  2. Wybierz „Prywatność i bezpieczeństwo” i przewiń w dół do sekcji „Tylko tryb HTTPS”.
  3. Wybierz opcję „Włącz tylko tryb HTTPS we wszystkich oknach”.
Na wynos SSL.com: Myślimy każdy witryna powinna obsługiwać wyłącznie protokół HTTPS. Do tego czasu tryb HTTPS-only jest dla użytkowników Firefoksa łatwym sposobem upewnienia się, że używają HTTPS, gdy tylko jest to możliwe.
Przejdź do góry

Obsługa żądań OCSP przez Apple budzi obawy dotyczące prywatności

W tym miesiącu kilka osób zaalarmowało o Big Sur po tym, jak problemy z serwerem ujawniły, że Apple śledzi i ujawnia mnóstwo informacji o swoich użytkownikach podczas sprawdzania podpisanego kodu aplikacji. Zasadniczo kod sprawdzający certyfikat wysyłał „cyfrowy odcisk palca” programisty za pośrednictwem zwykłego tekstu HTTP za każdym razem, gdy aplikacja została uruchomiona. Co to znaczy? Thomas Claburn z Rejestr ujmuje to wystarczająco zwięźle: „Apple, a także każdy, kto podsłuchuje ścieżkę sieciową, może przynajmniej połączyć Cię przez Twój publiczny adres IP z rodzajami aplikacji, których używasz”.

W związku z upublicznieniem tych informacji Apple obiecał zaprzestać rejestrowania adresów IP. Również z Rejestr artykuł:

Aby dodatkowo chronić prywatność, przestaliśmy rejestrować adresy IP związane z weryfikacją certyfikatów Developer ID i zapewnimy, że wszelkie zebrane adresy IP zostaną usunięte z dzienników ”- powiedział Apple.

Tytan z Doliny Krzemowej powiedział również, że planuje wdrożyć szyfrowany protokół do sprawdzania unieważnień certyfikatów ID deweloperów, podjąć kroki w celu zwiększenia odporności swoich serwerów i zapewnić użytkownikom mechanizm rezygnacji. Rejestr rozumie, że kontrole certyfikatów są podpisane kryptograficznie przez Apple, więc nie można ich modyfikować podczas transportu bez wykrycia, chociaż można je zaobserwować, więc teraz Apple zapakuje ten kanał komunikacyjny w szyfrowanie, aby chronić go przed wzrokiem ciekawskich.

Ponadto firma Apple przestała zezwalać aplikacjom innych firm, takim jak zapory i sieci VPN, na blokowanie lub monitorowanie ruchu z własnych aplikacji i procesów systemu operacyjnego do serwerów Apple w Big Sur. To problem dla tych, którzy chcą kompleksowo analizować swój ruch sieciowy lub po prostu nie chcą, aby ich ruch trafiał na serwery Apple.

Chociaż artykuł w Register ma uroczysty ton, jest dość wyważony. Aby uzyskać bardziej żarliwą interpretację na koniec dnia, Jeffery Paul omawia również implikacje dotyczące bezpieczeństwa Na swoim blogu.

Na wynos SSL.com: Próbując chronić swoich użytkowników przed złośliwym oprogramowaniem, firma Apple mogła nadmiernie naruszyć ich prywatność. Uważamy, że oprogramowanie, które uruchamiasz i z czym łączy się Twój komputer, powinno być Twoją własnością i mamy nadzieję, że Apple podejmie skuteczne kroki, aby zwrócić tę kontrolę użytkownikom.

 

Elżbieta Pagano

Wszystkie Posty

Powiązane posty na blogu

Zobacz wszystkie posty na blogu
Facebook LinkedIn Twitter youtube Github

Co to jest SSL /TLS?

Odtwórz wideo

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę