en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Resumo de segurança de junho de 2020

Bem-vindo a esta edição de junho do Security Roundup de SSL.com. O verão chegou, a pandemia continua, e também as notícias sobre segurança digital! Este mês, vamos dar uma olhada em:

Se você está procurando um SSL /TLS certificado para o seu site, dê uma olhada nos preços acessíveis e de alto valor de SSL.com opções.

Senado deve considerar backdoors de criptografia obrigatória

Este é meio yikes-y. Enquanto grande parte do país está considerando reduzir o poder da aplicação da lei, três senadores introduziram um Lei draconiana isso forçará as empresas de tecnologia a criar "backdoors" de esquemas de criptografia que permitirão que as autoridades legais acessem os dados em trânsito e nos dispositivos. Como Vice Magazine's motherboard coloque-o sucintamente o título deles, “Republicans Who Don't Understand Encryption Introduce Bill to Break It.”

O projeto de lei dos senadores Lindsey Graham (R-Carolina do Sul), Tom Cotton (R-Arkansas) e Marsha Blackburn (R-Tennessee) foi ampla e completamente criticado pela indústria de tecnologia, defensores dos direitos civis e muitos com bom senso. Como Thomas Claburn's artigo em The Register explica:

A fatura exige que qualquer empresa apresentada com um mandado - “fabricante de dispositivo, provedor de sistema operacional, provedor de serviço de computação remota ou outra pessoa” - ajude as autoridades a “acessar informações armazenadas em um dispositivo eletrônico ou acessar informações eletrônicas armazenadas remotamente. ”

 Não especifica como a criptografia deve ser tratada, apenas que deve ser desfeita quando inconveniente para as autoridades ...

 … A criptografia, deve-se dizer, também evita uma quantidade razoável de crimes, mantendo coisas como contas bancárias online e navegação na web razoavelmente seguras. Obrigar uma porta dos fundos, que matematicamente qualquer um poderia encontrar, pode não ser o movimento mais sábio.

Infelizmente, essa tentativa de legislação nem mesmo é particularmente nova, apenas a mais recente iteração preguiçosa de uma tentativa de contornar a segurança digital para tornar as coisas mais fáceis para os poderes constituídos.

Conclusão de SSL.com: SSL.com não oferece suporte à insegurança exigida pelo governo - quando a criptografia de ponta a ponta for proibida, apenas os foras da lei terão criptografia de ponta a ponta. Observe também esta citação do artigo da Vice: 'A única ressalva é "a menos que as ações independentes de uma entidade não afiliada tornem tecnicamente impossível fazê-lo", o que parece excluir a realidade atual, que é que as próprias empresas de tecnologia tornaram isso impossível para descriptografar dados armazenados em um telefone criptografado com uma senha, ou mensagens trocadas em aplicativos criptografados de ponta a ponta. '

O governo dos EUA planeja usar HTTPS em todos os sites .gov

Em boas notícias tardias, o governo dos EUA anunciou sua intenção de adicionar o domínio “.gov” à lista de pré-carregamento HTTP Strict Transport Security (HSTS). Por enquanto, alguns sites do governo continuarão a oferecer HTTP para mantê-los acessíveis aos usuários, com a intenção de chegar ao ponto em que todos os servidores da web .gov usarão HTTPS por padrão.

Mas, este é o governo federal, e é importante notar que nada disso acontecerá durante a noite. Em vez disso, os EUA estão trabalhando para colocar o domínio .gov na lista de pré-carregamento do HSTS, o que acabará redirecionar usuários para se comunicarem por HTTPS como padrão.

De os anunciantes do governot:

Observe que estamos anunciando a intenção de pré-carregar o TLD, mas não o pré-carregamos hoje. Se fizéssemos isso, alguns sites do governo que não oferecem HTTPS se tornariam inacessíveis aos usuários, e não queremos impactar negativamente os serviços em nossa maneira de melhorá-los! Na verdade, o pré-carregamento é uma etapa simples, mas chegar lá exigirá um esforço concertado entre as organizações governamentais federais, estaduais, locais e tribais que usam um recurso comum, mas não costumam trabalhar juntos nessa área ... Com esforço concentrado, poderíamos pré-carregar. gov dentro de alguns anos.

Nesse ínterim, de acordo com o mesmo anúncio, o governo estará preparando sites individuais para a transição, fazendo apresentações e sessões de audição, e pré-carregando automaticamente todos novo Domínios .gov começando em setembro. Eles também criaram um novo listserv para feedback de agências governamentais sobre os desafios que esperam enfrentar.

Conclusão de SSL.com:  Todos os sites em todos os lugares já deveriam estar usando HTTPS, então esta é uma boa ideia, embora seja lenta. Nós vamos pegar o que pudermos!

Acordo Comcast e Mozilla Strike Firefox DoH

Comcast é o primeiro provedor de serviços de Internet a parceria com a Mozilla para fornecer pesquisas de DNS criptografadas no Firefox. O acordo entre as duas empresas vem depois de uma disputa sobre a privacidade do ISP e se o DNS sobre HTTPS tira a capacidade dos ISPs de rastrear usuários e manter coisas como controles dos pais.

Jon Brodkin em Ars Technica explica que a Comcast será o primeiro ISP a aderir ao programa Trusted Recursive Resolver do Firefox, juntando-se a Cloudflare e NextDNS. O programa, de acordo com aquele artigo, “exige que os provedores de DNS criptografado atendam critérios de privacidade e transparência e comprometer-se a não bloquear ou filtrar domínios por padrão 'a menos que especificamente exigido por lei na jurisdição em que o resolvedor opera'. ”

Anteriormente, os dois agora parceiros discordavam sobre DNS sobre HTTPS, o que evita que as pessoas vejam quais pesquisas de DNS os navegadores estão fazendo, tornando o monitoramento por ISPs muito difícil. Do artigo da Ars Technica:

A parceria Comcast / Mozilla é notável porque os ISPs lutaram contra os planos de implantar DNS sobre HTTPS em navegadores, e o trabalho da Mozilla na tecnologia visa, em grande parte, evitar que os ISPs bisbilhotem a navegação de seus usuários. Em setembro de 2019, grupos da indústria, incluindo o lobby do cabo NCTA ao qual a Comcast pertence, escreveram um carta para o congresso opondo-se aos planos do Google para DNS criptografado no Chrome e Android. Comcast deu membros do Congresso a apresentação de lobby que alegou que o plano de DNS criptografado iria “centralizar [e] a maioria dos dados DNS mundiais com o Google” e “dar a um provedor o controle do roteamento de tráfego da Internet e grandes quantidades de novos dados sobre consumidores e concorrentes”. A apresentação de lobby da Comcast também reclamou do plano da Mozilla para o Firefox.

Mozilla em novembro ISPs acusados de mentir para o Congresso para espalhar confusão sobre DNS criptografado. Mozilla's carta ao congresso criticou a Comcast, apontando para um incidente em 2014 em que a Comcast “injetou anúncios em usuários conectados a seus pontos de acesso Wi-Fi públicos, potencialmente criando novas vulnerabilidades de segurança em sites”. A Mozilla disse que, devido ao incidente com a Comcast e outros envolvendo a Verizon e a AT&T, “Acreditamos que tais medidas proativas [para implementar DNS criptografado] se tornaram necessárias para proteger os usuários à luz do extenso registro de abuso de dados pessoais por ISP.” A Mozilla também apontou a falta de regras de privacidade de banda larga no país, que eram morto pelo Congresso em 2017, a pedido dos ISPs.

Mas, isso agora parece estar no passado, com um acordo assinado entre as duas empresas em março, e uma expectativa de que o DNS criptografado da Comcast também chegue ao Chrome em breve.

Conclusão de SSL.com: É bom ver um ISP embarcando com DNS criptografado, mas você ainda deve ler o Xfinity da Comcast política de privacidade se você é um cliente.

AddTrust External CA O certificado raiz expirou

O AddTrust External CA certificado raiz expirado em maio 30, 2020. Embora a maioria dos usuários não seja afetada por essa expiração, isso ainda é digno de nota. Alguns certificados emitidos no passado por SSL.com se conectam à raiz USERTrust RSA CA da Sectigo por meio de uma assinatura cruzada intermediária pela raiz AddTrust. Isso foi feito para garantir a compatibilidade com dispositivos legados que não incluem a raiz USERTrust.

Felizmente, dispositivos que do incluir a raiz USERTrust, que é a grande maioria, não será afetada pela expiração. Nesse caso, o que será verdade para todos os navegadores, sistemas operacionais e dispositivos móveis modernos, o software simplesmente escolherá um caminho de confiança que leve a USERTrust e ignorará o certificado AddTrust expirado. Explicamos tudo isso no início do mês, então se você está procurando mais detalhes, você pode querer Acesse nossa postagem de 2 de junho no blog. Para manter a compatibilidade com dispositivos mais antigos, os proprietários de sites com certificados SSL.com USERTrust podem baixar certificados intermediários e raiz de substituição por meio dos botões abaixo:

BAIXAR CERTIFICADOS INDIVIDUAIS

BAIXAR CERTIFICADOS EMBUTIDOS

Usuários que contam com SSL mais antigo /TLS clientes, incluindo OpenSSL 1.0.x e GnuTLS, deve remover o certificado AddTrust expirado de seu armazenamento raiz do sistema operacional. Veja nosso blog para obter links para correções para Red Hat Linux e Ubuntu.

Conclusão de SSL.com: Se você tiver certificados USERTrust emitidos por SSL.com, você pode (e deve!) Baixar um novo pacote CA de nosso site e instale-os no seu servidor.
Obrigado por visitar SSL.com! Se você tiver alguma dúvida, entre em contato conosco por e-mail em Support@SSL.com, ligar 1-877-SSL-SECUREou apenas clique no link de bate-papo no canto inferior direito desta página. Você também pode encontrar respostas para muitas perguntas de suporte comuns em nosso Base de Conhecimento.


Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com