Добро пожаловать в июньский выпуск обзора безопасности SSL.com. Лето здесь, пандемия продолжается, как и новости о цифровой безопасности! В этом месяце мы рассмотрим:
- Сенаторы представляют новый закон о «бэкдоре»
- Правительство США планирует использовать HTTPS на всех сайтах .gov
- Comcast и Mozilla Strike Firefox сделка DoH
- AddTrust External CA Срок действия истек 30 мая
Сенат рассмотрит обязательные бэкдоры шифрования
Это что-то вроде yikes-y. В то время как большая часть страны рассматривает возможность сокращения полномочий правоохранительных органов, три сенатора ввели Драконовский счет это заставит технические компании создать схему «черного хода», которая позволит правоохранительным органам получать доступ к данным в пути и на устройствах. Как вице-журнал Материнская плата кратко положить его в их заголовок«Республиканцы, которые не понимают шифрование, вводят законопроект, чтобы сломать его».
Законопроект сенаторов Линдси Грэхем (республика Южная Каролина), Тома Коттона (штат Арканзас) и Марши Блэкберн (штат Теннесси) подвергся широкой и всесторонней критике со стороны технологической индустрии, защитников гражданских прав и многих со здравым смыслом. Как Томас Клэберн гайд в Реестре объясняет:
Законопроект требует, чтобы любая компания, представленная в ордере, - «производитель устройства, поставщик операционной системы, поставщик услуг удаленных вычислений или другое лицо» - помогала властям «получить доступ к информации, хранящейся на электронном устройстве, или получить доступ к удаленно хранимой электронной информации. ”
В нем не указывается, как следует поступать с шифрованием, только то, что оно должно быть отменяемым, когда это неудобно для властей ...
… Следует отметить, что шифрование также предотвращает изрядное количество преступлений, обеспечивая достаточную безопасность таких вещей, как банковские онлайн-счета и просмотр веб-страниц. Обязанность бэкдора, который математически любой мог найти, может быть, не самый мудрый ход.
К сожалению, эта попытка законодательного акта даже не является особенно новой, просто последняя ленивая итерация попытки обойти цифровую безопасность, чтобы упростить ситуацию для держав, которые будут.
Правительство США планирует использовать HTTPS на всех сайтах .gov
В хороших, запоздалых новостях, правительство США объявила намерение добавить домен «.gov» в список предварительной загрузки HTTP Strict Transport Security (HSTS). В настоящее время некоторые правительственные сайты будут продолжать предлагать HTTP, чтобы сделать их доступными для пользователей, с целью достижения точки, где все веб-серверы .gov будут использовать HTTPS по умолчанию.
Но это федеральное правительство, и важно отметить, что ничего этого не произойдет в одночасье. Скорее, США работают над включением домена .gov в список предварительной загрузки HSTS, что в конечном итоге приведет к перенаправить пользователей для общения по HTTPS по умолчанию.
от правительственное объявлениеt:
Обратите внимание, что мы объявляем о намерении предварительно загрузить TLD, но не загружаем его сегодня. Если бы мы сделали это, некоторые правительственные веб-сайты, которые не предлагают HTTPS, стали бы недоступны для пользователей, и мы не хотим негативно влиять на сервисы на нашем пути их улучшения! На самом деле предварительная загрузка - это простой шаг, но для ее достижения потребуются согласованные усилия федеральных, штатных, местных и племенных правительственных организаций, которые используют общий ресурс, но не часто работают вместе в этой области… При согласованных усилиях мы могли бы выполнить предварительную загрузку. правительственный в течение нескольких лет.
Между тем, согласно тому же объявлению, правительство будет готовить отдельные сайты для перехода, проводить презентации и прослушивания, а также автоматически загружать все new Домены .gov начинаются с сентября. Они также создали новый список рассылки для правительственных учреждений о проблемах, с которыми они ожидают столкнуться.
Comcast и Mozilla Strike Firefox сделка DoH
Comcast является первым Интернет-провайдером партнер Mozilla обеспечить зашифрованный поиск DNS в Firefox. Сделка между двумя компаниями происходит после спора через конфиденциальность интернет-провайдера и устраняет ли DNS через HTTPS способность интернет-провайдеров отслеживать пользователей и поддерживать такие вещи, как родительский контроль.
Джон Бродкин в Ars Technica объясняет, этот Comcast станет первым интернет-провайдером, присоединившимся к программе Firefox Trusted Recursive Resolver, присоединившись к Cloudflare и NextDNS. Программа, согласно этой статье, «требует, чтобы зашифрованные DNS-провайдеры соответствовали критерии конфиденциальности и прозрачности и обязуемся не блокировать и не фильтровать домены по умолчанию, «если это специально не требуется по закону в юрисдикции, в которой работает преобразователь» ».
Ранее два нынешних партнера разошлись во мнениях по поводу DNS через HTTPS, что не позволяет людям видеть, что делают браузеры для поиска DNS, что делает мониторинг интернет-провайдерами довольно трудным. Из статьи Ars Technica:
Партнерство Comcast / Mozilla примечательно тем, что интернет-провайдеры боролись с планами развертывания DNS через HTTPS в браузерах, а работа Mozilla над этой технологией в значительной степени направлена на то, чтобы интернет-провайдеры не отслеживали просмотр своих пользователей. В сентябре 2019 года отраслевые группы, включая кабельное лобби NCTA, которому принадлежит Comcast, написали письмо на конгресс возражая против планов Google для зашифрованного DNS в Chrome и Android. Comcast дал членам Конгресса a лоббистская презентация в котором утверждалось, что план зашифрованного DNS «централизует [е] большую часть всемирных данных DNS с помощью Google» и «предоставит одному провайдеру контроль над маршрутизацией интернет-трафика и огромными объемами новых данных о потребителях и конкурентах». Лоббистская презентация Comcast также жаловалась на план Mozilla в отношении Firefox.
Мозилла в ноябре обвиняемые интернет-провайдеры лгать Конгрессу, чтобы сеять путаницу в отношении зашифрованного DNS. Mozilla письмо в Конгресс раскритиковал Comcast, указывая на инцидент в 2014 году в котором Comcast «показывал рекламу пользователям, подключенным к его общедоступным точкам доступа Wi-Fi, потенциально создавая новые уязвимости безопасности на веб-сайтах». Mozilla заявила, что из-за инцидента с Comcast и других инцидентов, связанных с Verizon и AT&T, «мы считаем, что такие упреждающие меры [по внедрению зашифрованного DNS] стали необходимыми для защиты пользователей в свете обширной информации о злоупотреблениях интернет-провайдерами личными данными». Mozilla также указала на отсутствие в стране правил конфиденциальности широкополосного доступа, которые убит Конгрессом в 2017 году по запросу интернет-провайдеров.
Но, похоже, это в прошлом, с подписанным соглашением между двумя компаниями по состоянию на март и ожиданием того, что зашифрованный DNS Comcast также скоро появится в Chrome.
AddTrust External CA Срок действия корневого сертификата истек
Ассоциация AddTrust External CA корневой сертификат истекший мая 30, 2020. Хотя этот срок не коснется большинства пользователей, он все же заслуживает внимания. Некоторые сертификаты, выданные в прошлом цепочкой SSL.com для корня CA Sectigo USERTrust RSA, через промежуточную перекрестную подпись корнем AddTrust. Это было сделано для обеспечения совместимости с устаревшими устройствами, не имеющими корня USERTrust.
К счастью, устройства, которые do включить корень USERTrust, на который подавляющее большинство не повлияет истечение срока действия. В этом случае, что будет справедливо для всех современных браузеров, операционных систем и мобильных устройств, программа просто выберет путь доверия, ведущий к USERTrust, и проигнорирует истекший сертификат AddTrust. Мы объяснили все это в начале месяца, поэтому, если вы ищете более подробную информацию, вы можете Загляните в наш блог 2 июня. Чтобы поддерживать совместимость со старыми устройствами, владельцы веб-сайтов с сертификатами SSL.com USERTrust могут загрузить заменяющие промежуточные и корневые сертификаты с помощью кнопок ниже:
СКАЧАТЬ ИНДИВИДУАЛЬНЫЕ СЕРТИФИКАТЫ
Пользователи, использующие старый SSL /TLS клиенты, включая OpenSSL 1.0.x и GnuTLS, следует удалить просроченный сертификат AddTrust из корневого хранилища ОС. Смотрите наш блоге ссылки на исправления для Red Hat Linux и Ubuntu.
