Resumo de segurança de novembro de 2020

Os feriados estão aqui, de alguma forma, e também o boletim informativo de novembro SSL.com. Este ano, a preparação para o feriado pode parecer mais opressora do que nunca. Pode até parecer que manter o controle da segurança da Internet é uma tarefa muito difícil de enfrentar. Estamos aqui para lhe dizer que esse tipo de pensamento é um absurdo - basta olhar para todas as coisas que aconteceram no mês passado!

SSL.com oferece suporte ao protocolo ACME

Logotipo da ACME

Em 13 de novembro, SSL.com anunciou suporte para o protocolo ACME. Agora nossos clientes podem aproveitar facilmente este SSL / popularTLS ferramenta de automação.

Originalmente desenvolvido o Internet Security Research Group e publicado como um padrão da Internet em RFC 8555, ACME simplifica a renovação e substituição de SSL /TLS certificados. Isso torna mais fácil para os proprietários de sites se manterem atualizados com os certificados em seus sites.

Você pode descobrir mais sobre as vantagens da implementação ACME de SSL.com em nosso blog anunciando o lançamento. Quando estiver pronto para começar, confira nosso guia a emissão e revogação de certificados com ACME, e nosso how-to na automação ACME para as plataformas de servidor Apache e Nginx.

Conclusão de SSL.com: Estamos entusiasmados em oferecer este protocolo popular aos nossos clientes e esperamos que você experimente em breve!

Congresso aprova projeto de lei de segurança cibernética de IoT

Aprovado pelo Congresso dos EUA em 17 de novembro de 2020 e rumo à Casa Branca para a assinatura do presidente, o Lei de Melhoria da Segurança Cibernética da Internet das Coisas “Requer que o Instituto Nacional de Padrões e Tecnologia (NIST) e o Escritório de Gestão e Orçamento (OMB) tomem medidas específicas para aumentar a segurança cibernética para dispositivos de Internet das Coisas (IoT).”

In um artigo sobre Postagem de Ameaça, Lindsey O'Donnell explica que a medida federal é projetada para pôr fim aos problemas de segurança e privacidade que há muito perseguem os dispositivos IoT, e faz isso de uma forma que se alinha aos padrões e práticas recomendadas existentes do setor. Ela escreve:

O IoT Cybersecurity Improvement Act tem várias partes diferentes. Em primeiro lugar, determina que o (Instituto Nacional de Padrões e Tecnologia) deve emitir diretrizes baseadas em padrões para a segurança mínima de dispositivos IoT que são propriedade do governo federal. O Escritório de Gestão e Orçamento (OMB) também deve implementar requisitos para que as agências civis federais tenham políticas de segurança da informação que sejam consistentes com essas diretrizes do NIST.
De acordo com a lei, as agências federais também devem implementar uma política de divulgação de vulnerabilidade para dispositivos IoT e não podem adquirir dispositivos que não atendam às diretrizes de segurança.

O'Donnell relata ainda que o esforço para regulamentar a IoT continua a ser um esforço mundial, com recomendações de segurança da Agência da União Europeia para Rede e Segurança da Informação e promessas do Reino Unido de emitir requisitos para senhas e atualizações de segurança.

Conclusão de SSL.com: Dados os muitos problemas de segurança recentes com dispositivos “inteligentes” e sua rápida proliferação no mercado, estamos felizes em ver o Congresso dos EUA dando um passo na direção certa para estabelecer padrões de segurança de IoT e melhores práticas para o governo federal.

Modo HTTPS somente oferecido no Firefox 83

O Firefox 83 da Mozilla, lançado em 17 de novembro, oferece aos usuários um Modo apenas HTTPS. Ao ativá-lo, o navegador buscará automaticamente conexões HTTPS e pedirá permissão antes de prosseguir para um site que não oferece suporte a conexões seguras. Como o da Mozilla blog nos lembra, o protocolo HTTP regular pode ser visto por aqueles que procuram roubar ou adulterar dados. HTTP over TLSou HTTPS, corrige isso criando uma conexão criptografada entre o seu navegador e o site que você está visitando, que os invasores não conseguem ler. 

Embora a maioria dos sites hoje em dia ofereça suporte a HTTPS, alguns sites ainda dependem de HTTP. Ou, às vezes, uma versão HTTP insegura de um site é aquela armazenada em seus favoritos ou acessada por meio de links legados e pode ser o padrão sem a ajuda de um navegador que priorize conexões HTTPS seguras.

Como o blog da Mozilla explica, ativar o novo modo agora é fácil:

Se você está ansioso para experimentar esse novo recurso de aprimoramento de segurança, ativar o modo somente HTTPS é simples:

  1. Clique no botão de menu do Firefox e escolha “Preferências”.
  2. Selecione “Privacidade e segurança” e role para baixo até a seção “Modo apenas HTTPS”.
  3. Escolha “Ativar modo apenas HTTPS em todas as janelas”.
Conclusão de SSL.com: Pensamos cada o site deve ser apenas HTTPS. Até esse momento, o modo apenas HTTPS é uma maneira fácil para os usuários do Firefox certificarem-se de que estão usando HTTPS sempre que possível.

O tratamento de solicitações OCSP da Apple levanta preocupações de privacidade

Este mês, algumas pessoas soaram o alarme sobre Big Sur depois que problemas de servidor revelaram que a Apple está rastreando e revelando muito sobre seus usuários ao verificar o código do aplicativo assinado. Essencialmente, o código de verificação de certificado estava enviando a “impressão digital” de um desenvolvedor via HTTP de texto simples sempre que um aplicativo era iniciado. O que isso significa? Thomas Claburn de O registro coloca de forma sucinta: “A Apple, assim como qualquer pessoa que esteja espionando o caminho da rede, pode pelo menos conectar você por meio do seu endereço IP público aos tipos de aplicativo que você usa.”

Após a divulgação dessas informações, a Apple prometeu não mais registrar os endereços IP. Também de O registro artigo:

Para proteger ainda mais a privacidade, paramos de registrar endereços IP associados às verificações de certificado de ID de desenvolvedor e garantiremos que todos os endereços IP coletados sejam removidos dos registros ”, disse a Apple.

O titã do Vale do Silício também disse que planeja implementar um protocolo criptografado para verificações de revogação de certificados de ID de desenvolvedor, tomar medidas para tornar seus servidores mais resilientes e fornecer aos usuários um mecanismo de cancelamento. O Register entende que as verificações de certificado são assinadas criptograficamente pela Apple, portanto, não podem ser violadas em trânsito sem detecção, embora possam ser observadas, e agora a Apple envolverá esse canal de comunicação em criptografia para protegê-lo de olhos curiosos.

Além disso, a Apple parou de permitir que aplicativos de terceiros, como firewalls e VPNs, bloqueiem ou monitorem o tráfego de seus próprios aplicativos e processos do sistema operacional para os servidores da Apple em Big Sur. Esse é um problema para quem deseja analisar de forma abrangente o tráfego da rede ou simplesmente não deseja que o tráfego vá para os servidores Apple.

Embora o artigo do Register tenha um tom solene, é bastante moderado. Para uma interpretação mais apaixonada do fim do dia, Jeffery Paul também analisa as implicações de segurança Em Seu Blog.

Conclusão de SSL.com: No processo de tentativa de proteger seus próprios usuários contra malware, a Apple pode ter comprometido excessivamente sua privacidade. Acreditamos que o software que você executa e o que seu computador se conecta devem ser da sua própria conta e esperamos que a Apple tome medidas eficazes para devolver esse controle aos usuários.

 

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.