Resumo de segurança de junho de 2020

Notícias de segurança de junho de SSL.com: Senado propõe backdoors de criptografia, HTTPS para .gov, DoH com Firefox e Comcast, AddTrust External CA root expira.

Conteúdo Relacionado

Quer continuar aprendendo?

Assine a newsletter de SSL.com, mantenha-se informado e seguro.

Bem-vindo a esta edição de junho do Security Roundup de SSL.com. O verão chegou, a pandemia continua, e também as notícias sobre segurança digital! Este mês, vamos dar uma olhada em:

Se você está procurando um SSL /TLS certificado para o seu site, dê uma olhada nos preços acessíveis e de alto valor de SSL.com opções.

Senado deve considerar backdoors de criptografia obrigatória

Este é meio yikes-y. Enquanto grande parte do país está considerando reduzir o poder da aplicação da lei, três senadores introduziram um Lei draconiana isso forçará as empresas de tecnologia a criar "backdoors" de esquemas de criptografia que permitirão que as autoridades legais acessem os dados em trânsito e nos dispositivos. Como Vice Magazine's motherboard coloque-o sucintamente o título deles, “Republicans Who Don't Understand Encryption Introduce Bill to Break It.”

O projeto de lei dos senadores Lindsey Graham (R-Carolina do Sul), Tom Cotton (R-Arkansas) e Marsha Blackburn (R-Tennessee) foi ampla e completamente criticado pela indústria de tecnologia, defensores dos direitos civis e muitos com bom senso. Como Thomas Claburn's artigo em The Register explica:

A fatura exige que qualquer empresa apresentada com um mandado - “fabricante de dispositivo, provedor de sistema operacional, provedor de serviço de computação remota ou outra pessoa” - ajude as autoridades a “acessar informações armazenadas em um dispositivo eletrônico ou acessar informações eletrônicas armazenadas remotamente. ”

 Não especifica como a criptografia deve ser tratada, apenas que deve ser desfeita quando inconveniente para as autoridades ...

 … A criptografia, deve-se dizer, também evita uma quantidade razoável de crimes, mantendo coisas como contas bancárias online e navegação na web razoavelmente seguras. Obrigar uma porta dos fundos, que matematicamente qualquer um poderia encontrar, pode não ser o movimento mais sábio.

Infelizmente, essa tentativa de legislação nem mesmo é particularmente nova, apenas a mais recente iteração preguiçosa de uma tentativa de contornar a segurança digital para tornar as coisas mais fáceis para os poderes constituídos.

Conclusão de SSL.com: SSL.com não oferece suporte à insegurança exigida pelo governo - quando a criptografia de ponta a ponta for proibida, apenas os foras da lei terão criptografia de ponta a ponta. Observe também esta citação do artigo da Vice: 'A única ressalva é "a menos que as ações independentes de uma entidade não afiliada tornem tecnicamente impossível fazê-lo", o que parece excluir a realidade atual, que é que as próprias empresas de tecnologia tornaram isso impossível para descriptografar dados armazenados em um telefone criptografado com uma senha, ou mensagens trocadas em aplicativos criptografados de ponta a ponta. '

O governo dos EUA planeja usar HTTPS em todos os sites .gov

Em boas notícias tardias, o governo dos EUA anunciou sua intenção de adicionar o domínio “.gov” à lista de pré-carregamento HTTP Strict Transport Security (HSTS). Por enquanto, alguns sites do governo continuarão a oferecer HTTP para mantê-los acessíveis aos usuários, com a intenção de chegar ao ponto em que todos os servidores da web .gov usarão HTTPS por padrão.

Mas, este é o governo federal, e é importante notar que nada disso acontecerá durante a noite. Em vez disso, os EUA estão trabalhando para colocar o domínio .gov na lista de pré-carregamento do HSTS, o que acabará redirecionar usuários para se comunicarem por HTTPS como padrão.

De os anunciantes do governot:

Observe que estamos anunciando a intenção de pré-carregar o TLD, mas não o pré-carregamos hoje. Se fizéssemos isso, alguns sites do governo que não oferecem HTTPS se tornariam inacessíveis aos usuários, e não queremos impactar negativamente os serviços em nossa maneira de melhorá-los! Na verdade, o pré-carregamento é uma etapa simples, mas chegar lá exigirá um esforço concertado entre as organizações governamentais federais, estaduais, locais e tribais que usam um recurso comum, mas não costumam trabalhar juntos nessa área ... Com esforço concentrado, poderíamos pré-carregar. gov dentro de alguns anos.

Nesse ínterim, de acordo com o mesmo anúncio, o governo estará preparando sites individuais para a transição, fazendo apresentações e sessões de audição, e pré-carregando automaticamente todos novo Domínios .gov começando em setembro. Eles também criaram um novo listserv para feedback de agências governamentais sobre os desafios que esperam enfrentar.

Conclusão de SSL.com:  Todos os sites em todos os lugares já deveriam estar usando HTTPS, então esta é uma boa ideia, embora seja lenta. Nós vamos pegar o que pudermos!

Acordo Comcast e Mozilla Strike Firefox DoH

Comcast é o primeiro provedor de serviços de Internet a parceria com a Mozilla para fornecer pesquisas de DNS criptografadas no Firefox. O acordo entre as duas empresas vem depois de uma disputa sobre a privacidade do ISP e se o DNS sobre HTTPS tira a capacidade dos ISPs de rastrear usuários e manter coisas como controles dos pais.

Jon Brodkin em Ars Technica explica que a Comcast será o primeiro ISP a aderir ao programa Trusted Recursive Resolver do Firefox, juntando-se a Cloudflare e NextDNS. O programa, de acordo com aquele artigo, “exige que os provedores de DNS criptografado atendam critérios de privacidade e transparência e comprometer-se a não bloquear ou filtrar domínios por padrão 'a menos que especificamente exigido por lei na jurisdição em que o resolvedor opera'. ”

Anteriormente, os dois agora parceiros discordavam sobre DNS sobre HTTPS, o que evita que as pessoas vejam quais pesquisas de DNS os navegadores estão fazendo, tornando o monitoramento por ISPs muito difícil. Do artigo da Ars Technica:

A parceria Comcast / Mozilla é notável porque os ISPs lutaram contra os planos de implantar DNS sobre HTTPS em navegadores, e o trabalho da Mozilla na tecnologia visa, em grande parte, evitar que os ISPs bisbilhotem a navegação de seus usuários. Em setembro de 2019, grupos da indústria, incluindo o lobby do cabo NCTA ao qual a Comcast pertence, escreveram um carta para o congresso opondo-se aos planos do Google para DNS criptografado no Chrome e Android. Comcast deu membros do Congresso a apresentação de lobby que alegou que o plano de DNS criptografado iria “centralizar [e] a maioria dos dados DNS mundiais com o Google” e “dar a um provedor o controle do roteamento de tráfego da Internet e grandes quantidades de novos dados sobre consumidores e concorrentes”. A apresentação de lobby da Comcast também reclamou do plano da Mozilla para o Firefox.

Mozilla em novembro ISPs acusados de mentir para o Congresso para espalhar confusão sobre DNS criptografado. Mozilla's carta ao congresso criticou a Comcast, apontando para um incidente em 2014 em que a Comcast “injetou anúncios em usuários conectados a seus pontos de acesso Wi-Fi públicos, potencialmente criando novas vulnerabilidades de segurança em sites”. A Mozilla disse que, devido ao incidente com a Comcast e outros envolvendo a Verizon e a AT&T, “Acreditamos que tais medidas proativas [para implementar DNS criptografado] se tornaram necessárias para proteger os usuários à luz do extenso registro de abuso de dados pessoais por ISP.” A Mozilla também apontou a falta de regras de privacidade de banda larga no país, que eram morto pelo Congresso em 2017, a pedido dos ISPs.

Mas, isso agora parece estar no passado, com um acordo assinado entre as duas empresas em março, e uma expectativa de que o DNS criptografado da Comcast também chegue ao Chrome em breve.

Conclusão de SSL.com: É bom ver um ISP embarcando com DNS criptografado, mas você ainda deve ler o Xfinity da Comcast política de privacidade se você é um cliente.

AddTrust External CA O certificado raiz expirou

O AddTrust External CA certificado raiz expirado em maio 30, 2020. Embora a maioria dos usuários não seja afetada por essa expiração, isso ainda é digno de nota. Alguns certificados emitidos no passado por SSL.com se conectam à raiz USERTrust RSA CA da Sectigo por meio de uma assinatura cruzada intermediária pela raiz AddTrust. Isso foi feito para garantir a compatibilidade com dispositivos legados que não incluem a raiz USERTrust.

Felizmente, dispositivos que do incluir a raiz USERTrust, que é a grande maioria, não será afetada pela expiração. Nesse caso, o que será verdade para todos os navegadores, sistemas operacionais e dispositivos móveis modernos, o software simplesmente escolherá um caminho de confiança que leve a USERTrust e ignorará o certificado AddTrust expirado. Explicamos tudo isso no início do mês, então se você está procurando mais detalhes, você pode querer Acesse nossa postagem de 2 de junho no blog. Para manter a compatibilidade com dispositivos mais antigos, os proprietários de sites com certificados SSL.com USERTrust podem baixar certificados intermediários e raiz de substituição por meio dos botões abaixo:

BAIXAR CERTIFICADOS INDIVIDUAIS

BAIXAR CERTIFICADOS EMBUTIDOS

Usuários que contam com SSL mais antigo /TLS clientes, incluindo OpenSSL 1.0.x e GnuTLS, deve remover o certificado AddTrust expirado de seu armazenamento raiz do sistema operacional. Veja nosso no blog para obter links para correções para Red Hat Linux e Ubuntu.

Conclusão de SSL.com: Se você tiver certificados USERTrust emitidos por SSL.com, você pode (e deve!) Baixar um novo pacote CA de nosso site e instale-os no seu servidor.
Obrigado por visitar SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.

 

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.