تقرير أمني لشهر فبراير 2020

مرحبًا بكم في إصدار فبراير من تقرير أمان SSL.com. قد يكون هذا هو أقصر شهر لدينا ، لكنه كان لا يزال مليئًا بالتطورات في SSL /TLS، والشهادات الرقمية ، وأمان الشبكة. سنغطي هذا الشهر ما يلي:

اذهب الى القمة

Apple تضع حدًا زمنيًا جديدًا للشهادات

كما أبلغنا بالفعل، اختارت Apple مؤخرًا تقييد SSL /TLS عمر الشهادة لأكثر من عام بقليل. في منتدى CA / Browser (CA / B) لشهر فبراير في براتيسلافا ، سلوفاكيا ، أعلنت شركة Apple أنه اعتبارًا من 1 سبتمبر 2020 ، لن تقبل أجهزتها ومتصفح Safari الشهادات التي يتجاوز عمرها 398 يومًا. لم يكن هناك أي إعلان مكتوب رسمي من Apple حتى الآن. (تحديث: تفاح أعلن تغيير السياسة على موقعها على الإنترنت في 3 مارس 2020) السجل ملاحظات:

تم التفكير في فترات صلاحية شهادات القطع من قبل Apple و Google وأعضاء آخرين في CA / Browser لعدة أشهر. السياسة لها مزاياها وعيوبها ... الهدف من هذه الخطوة هو تحسين أمان موقع الويب من خلال التأكد من استخدام المطورين لشهادات مع أحدث معايير التشفير ، وتقليل عدد الشهادات القديمة المهملة التي من المحتمل أن تتم سرقتها وإعادة استخدامها هجمات التصيد الاحتيالي والبرامج الضارة. إذا كان الأوغاد أو الأوغاد قادرين على كسر التشفير في SSL /TLS ستضمن الشهادات القياسية قصيرة العمر أن يهاجر الناس إلى شهادات أكثر أمانًا في غضون عام تقريبًا.

إن حدوث مثل هذا التحول الكبير بهذه الطريقة أمر مثير للدهشة إلى حد ما ، لكن التحول نفسه ليس كذلك. عمر شهادة أقصر ، كما لاحظ السجل، هي أمر كانت الصناعة تنظر فيه بجدية مؤخرًا. كان من الممكن أن يؤدي اقتراع منتدى CA / B لشهر سبتمبر إلى تغيير الحد الأقصى لفترة صلاحية الشهادات من المعيار الحالي البالغ 825 يومًا لمدة عام واحد ، لكن هذا التصويت فشل. هذه المرة لم يتم التصويت - شركة مؤثرة مثل Apple يمكنها تغيير المعيار من تلقاء نفسها.

الوجبات السريعة لـ SSL.com: على الرغم من أن تقليل عمر الشهادة كان نقطة محادثة ، لم يكن هناك حتى الآن إجماع على القيام بذلك عبر الصناعة. من المحتمل أن تفرض هذه الخطوة من قبل شركة Apple هذا الإجماع وتغيير المعيار. من غير الواضح ما هو تأثير التموج الذي سيحدثه النصف ، ولكن يبدو أننا جميعًا على وشك معرفة ذلك!
اذهب الى القمة

DNS عبر HTTPS الآن فايرفوكس الافتراضي

تم تعيين موزيلا هذا الشهر DNS عبر HTTPS (DoH) كافتراضي لمستخدمي متصفح Firefox الأمريكي. بالنسبة للمبتدئين في المفهوم: تقوم DoH بتشفير معلومات DNS غير المشفرة بشكل عام (حتى على مواقع الويب الآمنة) وتمنع الآخرين من رؤية المواقع التي يزورها الأشخاص. بالنسبة لبعض الكيانات التي ترغب في جمع البيانات عن المستخدمين (مثل الحكومة ، أو أولئك الذين يأملون في الاستفادة من بيع البيانات المذكورة) ، هذه أخبار سيئة. ويجادل البعض أيضًا بأن التعتيم المتزايد يمنع التجسس المفيد الذي يتتبع المجرمين ويسمح بالرقابة الأبوية على التصفح. آخرون ، مثل موزيلا (بوضوح) و مؤسسة الحدود الإلكترونية يروج لفوائد دائرة الصحة ، مشددًا على أن تشفير حركة مرور الويب يحسن الخصوصية للجمهور ويحبط محاولات تعقب الأشخاص وفرض الرقابة عليهم من قبل الحكومة. Mozilla's Firefox هو أول متصفح يتبنى المعيار افتراضيًا.

الوجبات السريعة لـ SSL.com: بصفتنا داعمين للخصوصية وتشفير أكثر قوة ، فإن هذا التغيير من قبل Mozilla يلفت انتباهنا باعتباره شيئًا إيجابيًا إلى حد كبير ومن المؤكد أنه سيعارضه الأشخاص الذين يستفيدون من جمع وبيع البيانات التي تم جمعها على مستخدمي الإنترنت غير المشتبه فيهم.
اذهب الى القمة

وقد فايرفوكس وسلاك مع TLS 1.0 و1.1

في خطوة لا لبس فيها للتخلص منها TLS 1.0 و 1.1 بالكامل ، موزيلا يتطلب الآن تجاوز يدوي من المستخدمين الذين يحاولون الاتصال بمواقع الويب باستخدام البروتوكولات. التغيير هو خطوة نحو هدفهم المعلن بحجب مثل هذه المواقع بالكامل. مثل وشك تقارير، التغيير يعني ما هو "نهاية المطاف حقا" ل TLS و 1.0 و 1.1 ، وسينضم إليها موزيلا في المستقبل القريب:

ستتم إزالة الدعم الكامل من Safari في تحديثات Apple iOS و macOS بدءًا من مارس 2020. " قالت جوجل انها ستزيل الدعم ل TLS 1.0 و 1.1 في Chrome 81 (متوقع في 17 مارس). مايكروسوفت محمد ستفعل الشيء نفسه "في النصف الأول من عام 2020".

ليست Mozilla بائع البرامج الرئيسي الوحيد الذي يوجه الجميع بعيدًا عنهم TLS 1.0 و 1.1. هذا الشهر ، سلاك انتهى الدعم لهم كذلك؛ تقول الشركة إنها تجري التغيير "للتوافق مع أفضل ممارسات الصناعة من أجل الأمن وتكامل البيانات."

الوجبات السريعة لـ SSL.com: الرسالة هنا واضحة جدًا. أوقف الإستخدام TLS 1.0 و 1.1 على مواقع الويب الخاصة بك ، وتأكد من تحديث المستعرضات الخاصة بك.
اذهب الى القمة

Chrome لحظر التنزيلات غير الآمنة

في الآونة الأخيرة ، اتخذت المتصفحات خطوة لتحذير المستخدمين محتوى مختلط. يحدث المحتوى المختلط عندما ترتبط مواقع الويب بمحتوى HTTP غير آمن (مثل الصور والتنزيلات) من صفحات HTTPS ، و "خلط" البروتوكولين بطريقة غير واضحة للمستخدمين دون تحذير (لقد درسنا المفهوم بعمق أكبر في هذه المقالة). الآن يأخذ Chrome الأمور خطوة أخرى إلى الأمام ، وسيحظر تنزيل المحتوى المختلط. مثل التكنولوجيا تايمز تقارير:

بدءًا من Chrome 82 ، المقرر إصداره في أبريل ، سيحذر Chrome المستخدمين إذا كانوا على وشك تنزيل ملفات تنفيذية للمحتوى المختلط من موقع ويب ثابت ... ثم ، عند إصدار الإصدار 83 ، يمكن حظر التنزيلات القابلة للتنفيذ ، ويمكن التحذير يتم تنفيذها لأرشفة الملفات. ستتلقى ملفات PDF و .Doc التحذير في Chrome 84 ، مع ملفات الصوت والصور والنصوص والفيديو التي تعرضها بمساعدة الإصدار 85. أخيرًا ، قد يتم حظر جميع تنزيلات المحتوى المختلط - ملف غير مستقر قادم من موقع ثابت - اعتبارًا من تفريغ Chrome 86.

في ما يلي مخطط مفيد من Google يوضح الجدول الزمني للتحذير / الحظر للأنواع المختلفة من المحتوى المختلط:

جدول لحظر المحتوى المختلط في Chrome

الوجبات السريعة لـ SSL.com: إذا كان لديك موقع يخدم موارد HTTP من صفحات HTTPS ، فقم بقصه! قد تجعلك محظورًا.
شكرًا لاختيارك SSL.com! إذا كان لديك أي أسئلة ، يرجى الاتصال بنا عبر البريد الإلكتروني على Support@SSL.com، مكالمة 1-877-SSL-SECURE، أو فقط انقر على رابط الدردشة في أسفل يمين هذه الصفحة.


فريق دعم SSL.com

المؤلف - مسؤول المحتوى
جميع المشاركات

بلوق وظائف ذات الصلة

عرض جميع المشاركات بلوق
فيسبوك لينكد إن تويتر يوتيوب جيثب

ما هو SSL /TLS?

البدء

اشترك في النشرة الإخبارية لـ SSL.com

لا تفوت المقالات والتحديثات الجديدة من SSL.com

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح