Праздники как-то здесь, и ноябрьский информационный бюллетень SSL.com. В этом году подготовка к празднику может показаться более сложной, чем когда-либо. Может даже показаться, что обеспечение безопасности в Интернете - слишком сложная задача, чтобы за нее взяться. Мы здесь, чтобы сказать вам, что такой образ мышления - ерунда - просто посмотрите на все, что произошло в прошлом месяце!
SSL.com поддерживает протокол ACME
13 ноября SSL.com объявило поддержка протокола ACME. Теперь наши клиенты могут легко воспользоваться этим популярным SSL /TLS инструмент автоматизации.
Первоначально разработал Internet Security Research Group и опубликован в качестве интернет-стандарта в RFC 8555, ACME упрощает обновление и замену SSL /TLS сертификаты. Это позволяет владельцам веб-сайтов быть в курсе последних сертификатов на своих сайтах.
Вы можете узнать больше о преимуществах внедрения ACME SSL.com в нашем блоге объявляя о запуске. Когда вы будете готовы начать, ознакомьтесь с нашими инструкция для выдачи и отзыва сертификатов в ACME, и наши как к по автоматизации ACME для серверных платформ Apache и Nginx.
Конгресс одобрил законопроект о кибербезопасности Интернета вещей
Принят Конгрессом США 17 ноября 2020 г. и направляется в Белый дом на подпись президента. Закон об улучшении кибербезопасности Интернета вещей «Требует, чтобы Национальный институт стандартов и технологий (NIST) и Управление управления и бюджета (OMB) предприняли определенные шаги для повышения кибербезопасности устройств Интернета вещей (IoT)».
In статья о Сообщение с угрозойЛиндси О'Доннелл объясняет, что федеральная мера призвана положить конец проблемам безопасности и конфиденциальности, которые давно преследуют устройства Интернета вещей, и делает это таким образом, чтобы это соответствовало существующим отраслевым стандартам и передовым практикам. Она пишет:
Закон о совершенствовании кибербезопасности Интернета вещей состоит из нескольких частей. Во-первых, он обязывает (Национальный институт стандартов и технологий) издать основанные на стандартах руководящие принципы минимальной безопасности устройств IoT, принадлежащих федеральному правительству. Управление управления и бюджета (OMB) также должно выполнять требования к федеральным гражданским агентствам о наличии политик информационной безопасности, соответствующих этим рекомендациям NIST.
Согласно закону, федеральные агентства также должны внедрять политику раскрытия уязвимостей для устройств Интернета вещей, и они не могут приобретать устройства, которые не соответствуют рекомендациям по безопасности.
О'Доннелл далее сообщает, что усилия по регулированию IoT продолжают предприниматься во всем мире, с рекомендациями по безопасности Агентства по сетевой и информационной безопасности Европейского Союза и обещаниями Великобритании выпустить требования к паролям и обновлениям безопасности.
Режим только HTTPS доступен в Firefox 83
Firefox 83 от Mozilla, выпущенный 17 ноября, предлагает пользователям Режим только HTTPS. Включив его, браузер будет автоматически искать HTTPS-соединения и запрашивать разрешение перед переходом на сайт, который не поддерживает безопасные соединения. Как Mozilla блоге напоминает нам, что обычный протокол HTTP доступен для просмотра тем, кто хочет украсть или подделать данные. HTTP через TLSили HTTPS, устраняет это, создавая зашифрованное соединение между вашим браузером и посещаемым вами веб-сайтом, которое потенциальные злоумышленники не могут прочитать.
Хотя большинство сайтов в настоящее время поддерживают HTTPS, некоторые сайты по-прежнему полагаются на HTTP. Или, иногда, небезопасная HTTP-версия веб-сайта хранится в ваших закладках или доступна по устаревшим ссылкам и может использоваться по умолчанию без помощи браузера, который отдает приоритет безопасным HTTPS-соединениям.
Как сообщает блог Mozilla объясняет,, теперь включить новый режим очень просто:
Если вы хотите попробовать эту новую функцию повышения безопасности, включить режим HTTPS-Only просто:
- Нажмите кнопку меню Firefox и выберите «Настройки».
- Выберите «Конфиденциальность и безопасность» и прокрутите вниз до раздела «Режим только HTTPS».
- Выберите «Включить режим только HTTPS во всех окнах».
Обработка Apple запросов OCSP вызывает опасения по поводу конфиденциальности
В этом месяце несколько человек забили тревогу по поводу Big Sur после того, как проблемы с сервером показали, что Apple отслеживает и раскрывает чертовски много о своих пользователях при проверке подписанного кода приложения. По сути, код проверки сертификата отправлял «цифровой отпечаток пальца» разработчика через обычный текстовый протокол HTTP при каждом запуске приложения. Что это значит? Томас Клэберн из Регистр достаточно лаконично: «Apple, а также любое лицо, перехватывающее сетевой путь, может, по крайней мере, связать вас по общедоступному IP-адресу с типами приложений, которые вы используете».
После обнародования этой информации Apple пообещала больше не регистрировать IP-адреса. Также из Регистр гайд:
Чтобы еще больше защитить конфиденциальность, мы прекратили регистрацию IP-адресов, связанных с проверками сертификатов Developer ID, и обеспечим удаление любых собранных IP-адресов из журналов », - заявила Apple.
Титан Кремниевой долины также заявил, что планирует внедрить зашифрованный протокол для проверки отзыва сертификатов идентификатора разработчика, предпринять шаги по повышению отказоустойчивости своих серверов и предоставить пользователям механизм отказа. Регистр понимает, что проверки сертификатов криптографически подписаны Apple, поэтому они не могут быть изменены в пути без обнаружения, хотя их можно наблюдать, и поэтому теперь Apple закроет этот канал связи шифрованием, чтобы защитить его от посторонних глаз.
Кроме того, Apple прекратила разрешать сторонним приложениям, таким как брандмауэры и VPN, блокировать или отслеживать трафик из собственных приложений и процессов операционной системы на серверы Apple в Биг-Суре. Это проблема для тех, кто хочет всесторонне анализировать свой сетевой трафик или просто не хочет, чтобы их трафик шел на серверы Apple.
Хотя статья в «Регистре» имеет торжественный тон, она довольно размеренная. Для более страстной интерпретации конца дней Джеффри Пол также разбивает последствия для безопасности В своем блоге.
