November 2020 säkerhetsrundup

I september 2020: s säkerhetsomgång ingår ACME från SSL.com, en IoT-cybersäkerhetsräkning, endast HTTPS-läge i Firefox och macOS-sekretessfrågor.

Relaterat innehåll

Vill du fortsätta lära dig?

Prenumerera på SSL.coms nyhetsbrev, håll dig informerad och säker.

Helgdagarna är här, på något sätt, och så är SSL.com-nyhetsbrevet i november. I år kan semesterförberedelser verka mer överväldigande än någonsin. Det kan till och med verka som att hålla koll på din internetsäkerhet är för skrämmande en uppgift att ta itu med. Vi är här för att berätta att den typen av tänkande är nonsens - titta bara på alla saker som hände förra månaden!

SSL.com stöder ACME-protokollet

ACME-logotyp

Den 13 november SSL.com meddelade stöd för ACME-protokollet. Nu kan våra kunder enkelt dra nytta av denna populära SSL /TLS automatiseringsverktyg.

Ursprungligen utvecklade Internet Security Research Group och publicerades som en internetstandard i RFC 8555, Förenklar ACME förnyelse och ersättning av SSL /TLS certifikat. Det gör det lättare för webbplatsägare att hålla sig uppdaterad med certifikat på sina webbplatser.

Du kan läsa mer om fördelarna med SSL.coms ACME-implementering i vår blogginlägg tillkännager lanseringen. När du är redo att komma igång, kolla in vår styra till certifikatutfärdande och återkallande med ACME, och vårt how-to om ACME-automatisering för Apache- och Nginx-serverplattformarna.

SSL.com: s takeaway: Vi är glada att kunna erbjuda detta populära protokoll till våra kunder, och hoppas att du kommer att prova det snart!

Kongressen godkänner IoT: s cybersäkerhetsproposition

Passerad av den amerikanska kongressen den 17 november 2020 och går till Vita huset för presidentens underskrift, Internet of Things Cybersecurity Improvement Act ”Kräver att National Institute of Standards and Technology (NIST) och Office of Management and Budget (OMB) vidtar specifika åtgärder för att öka cybersäkerhet för IoT-enheter (Internet of Things).”

In en artikel om Hot post, Lindsey O'Donnell förklarar att den federala åtgärden är utformad för att sätta stopp för säkerhets- och sekretessfrågor som länge har tappat IoT-enheter, och det gör det på ett sätt som överensstämmer med befintliga industristandarder och bästa praxis. Hon skriver:

IoT Cybersecurity Improvement Act har flera olika delar. För det första föreskrivs att (National Institute of Standards and Technology) måste utfärda standardbaserade riktlinjer för minsta säkerhet för IoT-enheter som ägs av den federala regeringen. Office of Management and Budget (OMB) måste också införa krav för federala civila myndigheter att ha informationssäkerhetspolicyer som överensstämmer med dessa NIST-riktlinjer.
Enligt lagen måste federala myndigheter också implementera en policy för avslöjande av sårbarheter för IoT-enheter, och de kan inte skaffa enheter som inte uppfyller säkerhetsriktlinjerna.

O'Donnell rapporterar vidare att ansträngningarna för att reglera IoT fortsätter att vara en världsomspännande insats, med säkerhetsrekommendationer från Europeiska unionens byrå för nätverks- och informationssäkerhet och löften från Storbritannien att utfärda krav på lösenord och säkerhetsuppdateringar.

SSL.com: s takeaway: Med tanke på de många nya säkerhetsproblemen med "smarta" enheter och deras snabba spridning på marknaden är vi glada att se den amerikanska kongressen ta ett steg i rätt riktning för att fastställa IoT-säkerhetsstandarder och bästa praxis för den federala regeringen.

HTTPS-Only Mode Erbjuds i Firefox 83

Mozillas Firefox 83, släppt den 17 november, erbjuder användarna en Endast HTTPS-läge. Genom att aktivera det kommer webbläsaren automatiskt att söka efter HTTPS-anslutningar och be om tillstånd innan du fortsätter till en webbplats som inte stöder säkra anslutningar. Som Mozillas blogginlägg påminner oss om att det vanliga HTTP-protokollet kan visas av dem som vill stjäla eller manipulera data. HTTP över TLS, eller HTTPS, fixar det genom att skapa en krypterad anslutning mellan din webbläsare och webbplatsen du besöker, vilka framtida angripare inte kan läsa. 

Även om de flesta webbplatser idag stöder HTTPS, är vissa webbplatser fortfarande beroende av HTTP. Eller ibland är en osäker HTTP-version av en webbplats den som lagras i dina bokmärken eller nås via äldre länkar och kan vara standard utan hjälp av en webbläsare som prioriterar säkra HTTPS-anslutningar.

Som Mozilla-bloggen förklarardet är enkelt att aktivera det nya läget nu:

Om du är angelägen om att prova den här nya säkerhetsförbättringsfunktionen är det enkelt att aktivera HTTPS-läge:

  1. Klicka på Firefox menyknapp och välj “Inställningar”.
  2. Välj "Sekretess och säkerhet" och bläddra ner till avsnittet "Endast HTTPS-läge".
  3. Välj "Aktivera Endast HTTPS-läge i alla fönster".
SSL.com: s takeaway: Vi tror att varje webbplatsen ska vara endast HTTPS. Fram till dess är endast HTTPS-läge ett enkelt sätt för Firefox-användare att se till att de använder HTTPS när det är möjligt.

Apples hantering av OCSP-begäranden ger upphov till integritetsproblem

Den här månaden lät ett par människor larm om Big Sur efter att serverproblem avslöjade att Apple spårar och avslöjar en hel del om sina användare när de kontrollerar signerad applikationskod. I huvudsak skickade certifikatkontrollkoden ut en utvecklares "digitala fingeravtryck" via HTTP med vanlig text när en applikation startades. Vad betyder det? Thomas Claburn av Registret säger det kortfattat nog: "Apple såväl som vem som helst som avlyssnar nätverksvägen kan åtminstone länka dig med din offentliga IP-adress till de typer av program du använder."

I kölvattnet av att denna information offentliggjordes lovade Apple att inte längre logga IP-adresser. Också från Registret Artikeln:

För att ytterligare skydda integriteten har vi slutat logga in IP-adresser som är kopplade till kontroller av utvecklar-ID-certifikat, och vi kommer att se till att alla samlade IP-adresser tas bort från loggar, säger Apple.

Silicon Valley-titan sa också att den planerar att implementera ett krypterat protokoll för återkallande av certifikat för utvecklar-ID-certifikat, att vidta åtgärder för att göra dess servrar mer motståndskraftiga och att ge användarna en opt-out-mekanism. Registret förstår att certifikatkontrollerna är kryptografiskt signerade av Apple, så att de inte kan manipuleras under transitering utan upptäckt, även om de kan observeras, och nu kommer Apple att svepa den kommunikationskanalen i kryptering för att skydda den från nyfikna ögon.

Dessutom har Apple slutat tillåta tredjepartsappar som brandväggar och VPN att blockera eller övervaka trafik från sina egna appar och operativsystemsprocesser till Apples servrar i Big Sur. Det här är ett problem för dem som vill analysera sin nätverkstrafik helt eller helt enkelt inte vill att deras trafik ska gå till Apples servrar.

Även om Register-artikeln tar en högtidlig ton är den ganska uppmätt. För en mer passionerad tolkning i slutändan bryter Jeffery Paul också ner säkerhetsimplikationerna på sin blogg.

SSL.com: s takeaway: Under processen att försöka skydda sina egna användare från skadlig kod kan Apple ha överskridit deras integritet alltför mycket. Vi tror att programvaran du kör och vad din dator ansluter till bör vara ditt eget företag och hoppas att Apple kommer att vidta effektiva åtgärder för att återställa kontrollen till användarna.

 

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.