欢迎使用SSL.com今年XNUMX月版的“安全摘要”。 夏天到了,大流行仍在继续,有关数字安全的新闻也是如此! 本月我们将看一下:
- 参议员提出新的“后门”法案
- 美国政府计划在所有.gov网站上使用HTTPS
- Comcast和Mozilla罢工Firefox DoH交易
- AddTrust External CA 30月XNUMX日过期
参议院考虑强制加密后门
这个有点像。 尽管该国许多地区正在考虑缩减执法权,但三位参议员提出了 德拉康法案 这将迫使科技公司创建加密方案“后门”,从而使执法部门能够访问传输中和设备上的数据。 作为副杂志社 主机板 简洁地放入 他们的标题,“不了解加密的共和党人介绍比尔来破解它。”
参议员林赛·格雷厄姆(R-South Carolina),汤姆·科顿(Tom Cotton)(R-阿肯色州)和玛莎·布莱克本(R-Tennessee)的法案受到科技行业,民权主义者和许多常识的广泛和彻底的批评。 作为托马斯·克拉本的 刊文 寄存器中的解释:
该法案要求任何拥有认股权证的公司(“设备制造商,操作系统提供商,远程计算服务提供商或其他人”)帮助当局“访问存储在电子设备上的信息或访问远程存储的电子信息。 ”
它没有指定加密的处理方式,只是在不方便当局的情况下应将其撤消...
…应该说,通过保持网上银行帐户和网络浏览等内容的安全,加密还可以防止大量犯罪。 强制后门,在数学上 任何人都可以找到,这可能不是最明智的举动。
可悲的是,这种立法尝试并不是特别新颖,只是绕过数字安全性以使事情变得更容易的最新懒惰迭代。
美国政府计划在所有.gov网站上使用HTTPS
令人欣慰的消息是,美国政府 已公布 其意图是将“ .gov”域添加到HTTP严格传输安全性(HSTS)预加载列表中。 目前,一些政府站点将继续提供HTTP,以使用户可以访问它们,以期达到所有.gov Web服务器默认都将使用HTTPS的地步。
但是,这是联邦政府,需要注意的是,这一切不会在一夜之间发生。 相反,美国正在努力将.gov域列入HSTS预加载列表,该列表最终将 重定向用户以通过HTTPS进行通信 作为默认值。
从 政府宣布t:
请注意,我们宣布要预加载TLD,但今天并未实际预加载。 如果这样做,用户将无法访问一些不提供HTTPS的政府网站,并且我们不想对服务的增强产生负面影响! 实际上,预加载是一个简单的步骤,但是要达到目标,则需要使用共同资源的联邦,州,地方和部落政府组织之间的共同努力,但在该领域通常不合作……通过共同努力,我们可以进行预加载。政府 在几年内.
同时,根据该公告,政府将为过渡准备各个站点,举行演示和聆听会议,并自动预加载所有站点。 新 .gov域名从XNUMX月开始。 他们还创建了一个新的列表服务,以征询政府机构对他们预期将面临的挑战的反馈。
Comcast和Mozilla罢工Firefox DoH交易
康卡斯特是第一家提供以下服务的互联网服务提供商 与Mozilla合作 在Firefox中提供加密的DNS查找。 两家公司之间的交易来了 发生争执后 ISP隐私保护以及HTTPs上的DNS是否剥夺了ISP跟踪用户并维护诸如父母控制之类的功能。
乔恩·布罗德金(Jon Brodkin)在Ars Technica中 解释 Comcast将成为第一个加入Firefox的Trusted Recursive Resolver计划,加入Cloudflare和NextDNS的ISP。 根据该文章,该程序“要求加密的DNS提供程序满足 隐私和透明度标准 并承诺默认情况下不会阻止或过滤域,除非法律明确规定,解析程序所在的司法管辖区”。
以前,这两个现在的合作伙伴不同意HTTPS上的DNS,这使人们无法看到浏览器在进行DNS查找,这使ISP进行监视非常困难。 从Ars Technica文章:
Comcast / Mozilla合作伙伴关系之所以显着,是因为ISP制定了计划在浏览器中通过HTTPS部署DNS的计划,而Mozilla在该技术上的工作主要是为了防止ISP窥探其用户的浏览。 在2019年XNUMX月,包括康卡斯特(Comcast)所属的NCTA有线电视大厅在内的行业组织撰写了一份 邮件 国会 反对谷歌的计划 在Chrome和Android中使用加密的DNS。 康卡斯特 给国会议员 a 游说演讲 声称加密的DNS计划将“与Google集中全球大部分DNS数据”,并“让提供商控制互联网流量路由以及有关消费者和竞争对手的大量新数据。” 康卡斯特的游说演讲还抱怨Mozilla的Firefox计划。
Mozilla在十一月 被指控的ISP 向国会撒谎,以传播有关加密DNS的困惑。 Mozilla的 给国会的信 批评康卡斯特,指的是 2014年的事件 其中,康卡斯特(Comcast)“向连接到其公共Wi-Fi热点的用户注入广告,有可能在网站中创建新的安全漏洞。” Mozilla表示,由于Comcast事件以及其他涉及Verizon和AT&T的事件,“我们认为,鉴于ISP滥用个人数据的广泛记录,这种(实施加密DNS的)积极措施对于保护用户很有必要。” Mozilla还指出该国缺乏宽带隐私规则, 被国会杀害 在2017年应ISP的要求。
但是,这似乎已成为过去,两家公司之间已于XNUMX月签署了协议,而且人们期望Comcast的加密DNS也将很快出现在Chrome中。
AddTrust External CA 根证书已过期
AddTrust External CA 根证书 过期 五月30,2020,。 尽管大多数用户都不会受到此过期时间的影响,但这仍然值得注意。 过去由SSL.com颁发的某些证书通过由AddTrust根进行交叉签名的中间链接到Sectigo的USERTrust RSA CA根。 这样做是为了确保与不包含USERTrust根目录的旧式设备兼容。
幸运的是,那些 do 包括USERTrust根,这是绝大多数,不会受到到期的影响。 在这种情况下,所有现代浏览器,操作系统和移动设备都将使用该软件,该软件将只选择导致USERTrust的信任路径,而忽略过期的AddTrust证书。 我们在本月初对所有内容进行了说明,因此,如果您需要更多详细信息,则可能需要 前往2月XNUMX日的博客文章。 为了保持与旧设备的兼容性,拥有SSL.com USERTrust证书的网站所有者可以通过以下按钮下载替代的中间证书和根证书:
依靠旧版SSL /的用户TLS 客户端,包括OpenSSL 1.0.x和GnuTLS,应从其操作系统根存储中删除过期的AddTrust证书。 看我们的 博客文章 有关Red Hat Linux和Ubuntu修复程序的链接。
