Vítejte v tomto únorovém vydání zabezpečení SSL.com. Může to být náš nejkratší měsíc, ale stále byl plný vývoje SSL /TLS, digitální certifikáty a zabezpečení sítě. Tento měsíc budeme pokrývat:
- Apple omezuje SSL /TLS Certifikáty na něco přes rok
- DNS přes HTTPS je nyní výchozí Firefox
- Další psaní na zeď TLS 1.0 a 1.1
- Chrome zablokuje nezabezpečené stahování
Apple uvádí nový časový limit na certifikáty
Jak jsme již řekli, Apple se nedávno rozhodl omezit SSL /TLS životnost certifikátu na něco přes rok. Na únorovém fóru CA / Browser (CA / B) v Bratislavě na Slovensku Apple oznámil, že od 1. září 2020 již nebudou jejich zařízení a prohlížeč Safari přijímat certifikáty s životností delší než 398 dní. Dosud neexistovalo žádné oficiální písemné oznámení od Apple. (aktualizace: jablko oznámila, změna politiky na své webové stránce dne 3. března 2020.) As Registru bere na vědomí:
Apple, Google a další členové CA / Browser několik měsíců zkracovali dobu životnosti certifikátu. Tato politika má své výhody i nevýhody ... Cílem tohoto kroku je zlepšit zabezpečení webových stránek zajištěním toho, aby vývojáři používali certifikáty s nejnovějšími kryptografickými standardy, a snížit počet starých zanedbaných certifikátů, které by mohly být potenciálně odcizeny a znovu použity phishing a útoky malwarem typu drive-by. Pokud jsou boffiny nebo ničemové schopni prolomit kryptografii v SSL /TLS standardní certifikáty s krátkou životností zajistí, že se lidé do zhruba roku přesunou na bezpečnější certifikáty.
To, že k takovému významnému posunu dochází tímto způsobem, je poněkud překvapivé, ale samotný posun není. Kratší životnost certifikátu, jak poznamenal Registru, jsou něco, co průmysl v poslední době vážně zvažuje. Září Volební fórum CA / B fóra mohlo změnit maximální dobu platnosti certifikátů ze současné 825denní normy jeden rok, ale toto hlasování selhalo. Tentokrát to nehlasovalo - společnost stejně vlivná jako Apple může posunout standard sama o sobě.
DNS přes HTTPS nyní Firefox výchozí
Tento měsíc Mozilla připravila DNS přes HTTPS (DoH) jako výchozí pro uživatele svého prohlížeče Firefox v USA. Pro ty nové v konceptu: DoH šifruje informace DNS, které jsou obecně nešifrované (dokonce i na zabezpečených webech) a brání ostatním v tom, aby viděli, jaké webové stránky lidé navštěvují. Pro některé subjekty, které rádi sbírají údaje o uživatelích (jako je vláda nebo ti, kteří doufají, že z prodeje uvedených údajů profitují), je to špatná zpráva. Někteří také tvrdí, že zvýšená neprůhlednost brání užitečnému špionování, které sleduje zločince a umožňuje rodičovskou kontrolu při procházení. Ostatní, jako je Mozilla (jasně) a Electronic Frontier Foundation poukazují na výhody DoH a zdůrazňují, že šifrování webového provozu zlepšuje soukromí pro veřejnost a maří pokusy vlády sledovat a cenzurovat lidi. Firefox od Mozilly je prvním prohlížečem, který standardně přijal standard.
Firefox a Slack Have It with with TLS 1.0 a 1.1
Jednoznačným krokem, jak se zbavit TLS 1.0 a 1.1 zcela, Mozilla nyní vyžaduje ruční potlačení uživatelů, kteří se pokoušejí připojit k webovým serverům pomocí protokolů. Tato změna je krokem k jejich deklarovanému cíli úplného blokování těchto stránek. Tak jako Verge Zprávy, změna znamená, co je „skutečně konečných časů“ TLS a 1.0 a 1.1 a k Mozille se v blízké budoucnosti připojí další:
Úplná podpora bude ze Safari odstraněna v aktualizacích Apple iOS a macOS počínaje březnem 2020. “ Google uvedl, že odstraní podporu pro TLS 1.0 a 1.1 v prohlížeči Chrome 81 (očekává se 17. března). Microsoft řekl totéž by učinilo „v první polovině roku 2020“.
Mozilla není jediný hlavní dodavatel softwaru, který odvádí všechny pryč TLS 1.0 a 1.1. Tento měsíc, Slack ukončila také jejich podporu; společnost říká, že dělají změnu „v souladu s osvědčenými postupy v oblasti bezpečnosti a integrity dat“.
Chrome blokuje nezabezpečené stahování
Prohlížeče v poslední době dělají krok, aby uživatele varovali smíšený obsah. Ke smíšenému obsahu dochází, když weby odkazují na nezabezpečený obsah HTTP (například obrázky a soubory ke stažení) ze stránek HTTPS a „směšují“ oba protokoly způsobem, který není uživatelům bez varování zřejmý (koncept jsme prozkoumali hlouběji) v tomto článku). Chrome nyní dělá věci o krok dále a bude blokovat stahování smíšeného obsahu. Jako Tech Times Zprávy:
Počínaje prohlížečem Chrome 82, který má být vydán v dubnu, Chrome uživatele upozorní, pokud se chystají stáhnout spustitelné soubory se smíšeným obsahem ze stabilního webu ... Poté, co bude vydána verze 83, mohou být ty spustitelné soubory zablokovány a opatrnost může být být implementovány do archivu souborů. Soubory PDF a .Doc dostanou varování v prohlížeči Chrome 84, kde je zvukové, obrazové, textové a video soubory zobrazují pomocí 85. verze. A konečně, všechna stahování smíšeného obsahu - nestabilní soubor pocházející ze stabilního webu - mohou být blokovány od ukončení prohlížeče Chrome 86.
Zde je užitečný graf od Googlu ukazující jejich časovou osu varování / blokování pro různé typy smíšeného obsahu: