Bem-vindo a esta edição de junho do Security Roundup de SSL.com. O verão chegou, a pandemia continua, e também as notícias sobre segurança digital! Este mês, vamos dar uma olhada em:
- Senadores apresentam novo projeto de lei “backdoor”
- O governo dos EUA planeja usar HTTPS em todos os sites .gov
- Acordo Comcast e Mozilla Strike Firefox DoH
- AddTrust External CA Expirou em 30 de maio
Senado deve considerar backdoors de criptografia obrigatória
Este é meio yikes-y. Enquanto grande parte do país está considerando reduzir o poder da aplicação da lei, três senadores introduziram um Lei draconiana isso forçará as empresas de tecnologia a criar "backdoors" de esquemas de criptografia que permitirão que as autoridades legais acessem os dados em trânsito e nos dispositivos. Como Vice Magazine's motherboard coloque-o sucintamente o título deles, “Republicans Who Don't Understand Encryption Introduce Bill to Break It.”
O projeto de lei dos senadores Lindsey Graham (R-Carolina do Sul), Tom Cotton (R-Arkansas) e Marsha Blackburn (R-Tennessee) foi ampla e completamente criticado pela indústria de tecnologia, defensores dos direitos civis e muitos com bom senso. Como Thomas Claburn's artigo em The Register explica:
A fatura exige que qualquer empresa apresentada com um mandado - “fabricante de dispositivo, provedor de sistema operacional, provedor de serviço de computação remota ou outra pessoa” - ajude as autoridades a “acessar informações armazenadas em um dispositivo eletrônico ou acessar informações eletrônicas armazenadas remotamente. ”
Não especifica como a criptografia deve ser tratada, apenas que deve ser desfeita quando inconveniente para as autoridades ...
… A criptografia, deve-se dizer, também evita uma quantidade razoável de crimes, mantendo coisas como contas bancárias online e navegação na web razoavelmente seguras. Obrigar uma porta dos fundos, que matematicamente qualquer um poderia encontrar, pode não ser o movimento mais sábio.
Infelizmente, essa tentativa de legislação nem mesmo é particularmente nova, apenas a mais recente iteração preguiçosa de uma tentativa de contornar a segurança digital para tornar as coisas mais fáceis para os poderes constituídos.
O governo dos EUA planeja usar HTTPS em todos os sites .gov
Em boas notícias tardias, o governo dos EUA anunciou sua intenção de adicionar o domínio “.gov” à lista de pré-carregamento HTTP Strict Transport Security (HSTS). Por enquanto, alguns sites do governo continuarão a oferecer HTTP para mantê-los acessíveis aos usuários, com a intenção de chegar ao ponto em que todos os servidores da web .gov usarão HTTPS por padrão.
Mas, este é o governo federal, e é importante notar que nada disso acontecerá durante a noite. Em vez disso, os EUA estão trabalhando para colocar o domínio .gov na lista de pré-carregamento do HSTS, o que acabará redirecionar usuários para se comunicarem por HTTPS como padrão.
De os anunciantes do governot:
Observe que estamos anunciando a intenção de pré-carregar o TLD, mas não o pré-carregamos hoje. Se fizéssemos isso, alguns sites do governo que não oferecem HTTPS se tornariam inacessíveis aos usuários, e não queremos impactar negativamente os serviços em nossa maneira de melhorá-los! Na verdade, o pré-carregamento é uma etapa simples, mas chegar lá exigirá um esforço concertado entre as organizações governamentais federais, estaduais, locais e tribais que usam um recurso comum, mas não costumam trabalhar juntos nessa área ... Com esforço concentrado, poderíamos pré-carregar. gov dentro de alguns anos.
Nesse ínterim, de acordo com o mesmo anúncio, o governo estará preparando sites individuais para a transição, fazendo apresentações e sessões de audição, e pré-carregando automaticamente todos novo Domínios .gov começando em setembro. Eles também criaram um novo listserv para feedback de agências governamentais sobre os desafios que esperam enfrentar.
Acordo Comcast e Mozilla Strike Firefox DoH
Comcast é o primeiro provedor de serviços de Internet a parceria com a Mozilla para fornecer pesquisas de DNS criptografadas no Firefox. O acordo entre as duas empresas vem depois de uma disputa sobre a privacidade do ISP e se o DNS sobre HTTPS tira a capacidade dos ISPs de rastrear usuários e manter coisas como controles dos pais.
Jon Brodkin em Ars Technica explica que a Comcast será o primeiro ISP a aderir ao programa Trusted Recursive Resolver do Firefox, juntando-se a Cloudflare e NextDNS. O programa, de acordo com aquele artigo, “exige que os provedores de DNS criptografado atendam critérios de privacidade e transparência e comprometer-se a não bloquear ou filtrar domínios por padrão 'a menos que especificamente exigido por lei na jurisdição em que o resolvedor opera'. ”
Anteriormente, os dois agora parceiros discordavam sobre DNS sobre HTTPS, o que evita que as pessoas vejam quais pesquisas de DNS os navegadores estão fazendo, tornando o monitoramento por ISPs muito difícil. Do artigo da Ars Technica:
A parceria Comcast / Mozilla é notável porque os ISPs lutaram contra os planos de implantar DNS sobre HTTPS em navegadores, e o trabalho da Mozilla na tecnologia visa, em grande parte, evitar que os ISPs bisbilhotem a navegação de seus usuários. Em setembro de 2019, grupos da indústria, incluindo o lobby do cabo NCTA ao qual a Comcast pertence, escreveram um carta para o congresso opondo-se aos planos do Google para DNS criptografado no Chrome e Android. Comcast deu membros do Congresso a apresentação de lobby que alegou que o plano de DNS criptografado iria “centralizar [e] a maioria dos dados DNS mundiais com o Google” e “dar a um provedor o controle do roteamento de tráfego da Internet e grandes quantidades de novos dados sobre consumidores e concorrentes”. A apresentação de lobby da Comcast também reclamou do plano da Mozilla para o Firefox.
Mozilla em novembro ISPs acusados de mentir para o Congresso para espalhar confusão sobre DNS criptografado. Mozilla's carta ao congresso criticou a Comcast, apontando para um incidente em 2014 em que a Comcast “injetou anúncios em usuários conectados a seus pontos de acesso Wi-Fi públicos, potencialmente criando novas vulnerabilidades de segurança em sites”. A Mozilla disse que, devido ao incidente com a Comcast e outros envolvendo a Verizon e a AT&T, “Acreditamos que tais medidas proativas [para implementar DNS criptografado] se tornaram necessárias para proteger os usuários à luz do extenso registro de abuso de dados pessoais por ISP.” A Mozilla também apontou a falta de regras de privacidade de banda larga no país, que eram morto pelo Congresso em 2017, a pedido dos ISPs.
Mas, isso agora parece estar no passado, com um acordo assinado entre as duas empresas em março, e uma expectativa de que o DNS criptografado da Comcast também chegue ao Chrome em breve.
AddTrust External CA O certificado raiz expirou
O AddTrust External CA certificado raiz expirado em maio 30, 2020. Embora a maioria dos usuários não seja afetada por essa expiração, isso ainda é digno de nota. Alguns certificados emitidos no passado por SSL.com se conectam à raiz USERTrust RSA CA da Sectigo por meio de uma assinatura cruzada intermediária pela raiz AddTrust. Isso foi feito para garantir a compatibilidade com dispositivos legados que não incluem a raiz USERTrust.
Felizmente, dispositivos que do incluir a raiz USERTrust, que é a grande maioria, não será afetada pela expiração. Nesse caso, o que será verdade para todos os navegadores, sistemas operacionais e dispositivos móveis modernos, o software simplesmente escolherá um caminho de confiança que leve a USERTrust e ignorará o certificado AddTrust expirado. Explicamos tudo isso no início do mês, então se você está procurando mais detalhes, você pode querer Acesse nossa postagem de 2 de junho no blog. Para manter a compatibilidade com dispositivos mais antigos, os proprietários de sites com certificados SSL.com USERTrust podem baixar certificados intermediários e raiz de substituição por meio dos botões abaixo:
BAIXAR CERTIFICADOS INDIVIDUAIS
Usuários que contam com SSL mais antigo /TLS clientes, incluindo OpenSSL 1.0.x e GnuTLS, deve remover o certificado AddTrust expirado de seu armazenamento raiz do sistema operacional. Veja nosso no blog para obter links para correções para Red Hat Linux e Ubuntu.