Velkommen til denne apriludgave af SSL.coms sikkerhedsrundup! Mange af os er blevet sammensat inden for den sidste måned, men livet online går stadig stærkt, hvilket betyder, at vi har masser at runde op, når det kommer til digital sikkerhed. Denne måned ser vi på:
- Microsoft udsætter TLS 1.0 og 1.0 afskrivning
- HTTPS-tilstand kun i Firefox 76
- Udvidet adgang til klientcertifikater til Firefox 75
- Et open source-alternativ til Zoom
Microsoft udsætter TLS 1.0 og 1.1 Afskrivning
Selvom Microsoft havde planlagt at deaktivere Transport Layer Security (TLS) versionerne 1.0 og 1.1 engang i foråret, virksomheden annoncerede at "i lys af aktuelle begivenheder" vil denne plan nu blive udsat til slutningen af året.
Selvom det kan lyde som en praktisk undskyldning for ikke at tage noget, ghacks.net rapporter at en udbredt løfte blandt browsere om at deaktivere sikkerhedsprotokollerne faktisk blev et problem under pandemien. De skriver:
Nogle, som Mozilla, gik videre med ændringen, men vendte den tilbage, da det blev klart, at nogle regeringswebsteder stadig er afhængige af disse protokoller. Brugere af Firefox kunne ikke længere få adgang til disse sider på grund af de deaktiverede protokoller. Mozilla aktiverede protokollerne igen for at sikre, at Firefox-brugere over hele verden er i stand til at få adgang til vigtige websteder i en krisetid.
Lige nu planlægger Microsoft at frigive en ny Chromium-baseret Microsoft Edge version 84r i juli hvor TLS 1.0 og 1.1 deaktiveres som standard. Microsoft Internet Explorer 11 og Classic Microsoft Edge deaktiverer protokollerne den 8. september.
Firefox 76 får valgfri tilstand med HTTPS-kun
Mozilla har meddelt, at de vil tilbyde brugere en HTTPS-kun-tilstand i version 76 af Firefox-browseren. Ifølge Softpedia funktionen tjener til at skubbe de få stragglers, der klamrer sig fast til HTTP, over til det sikre HTTPS protokol. Når den er aktiveret i browseren, indlæses HTTP-websteder ikke længere. I stedet forsøger browseren at opgradere forbindelsen til HTTPS. Hvis det ikke er tilgængeligt, får brugerne i øjeblikket en “Secure Connection Failed” -advarsel, der enten kan overholdes eller ignoreres.
Firefox 76 tilbyder kun denne mere sikre browsing som en mulighed lige nu - ikke som en standard - så brugere bliver nødt til at tilmelde sig HTTPS-oplevelsen.
Klientcertifikater forenklet i Firefox 75
I flere gode nyheder om Firefox, Mozilla annoncerede at de vil forenkle klientcertifikatbrugen i version 75 af browseren ved at give den adgang til operativsystemets certifikatlager på Windows og macOS. Indtil dette tidspunkt har brugere af Firefox været nødt til at arbejde med klientcertifikater i browseren ved at indlæse et tredjepartsbibliotek for at kommunikere med hardwaretokener eller importere certifikater og private nøgler til browserens eget certifikatlager. Det er ikke den mest sikre måde at gå om tingene på og kan også medføre stabilitetsproblemer.
Som Chrome og andre browsere har Firefox nu udviklet sit eget bibliotek til at interface med OS-certifikatlagring. Fra bloggen:
I stedet for at indlæse tredjepartsbiblioteker til at kommunikere med hardwaretokener, kan Firefox delegere denne opgave til operativsystemet. I stedet for at tvinge brugeren til at eksportere klientcertifikater og re-importere dem til deres Firefox-profil, kan Firefox kigge efter disse certifikater direkte. Ud over at beskytte private nøgler giver denne nye mekanisme Firefox mulighed for at gøre brug af klientcertifikater med ikke-eksportable nøgler… Vi forventer, at denne funktion er til stor fordel for vores virksomhedsbrugere, der tidligere har gjort meget for at konfigurere Firefox til at arbejde i deres miljø .
Jitsi tilbyder et open source-alternativ til zoom
Zoom lavede en masse overskrifter i sidste måned. Først sprang alle på Zoom for at oprette forbindelse til arbejde, venner og familie hjemmefra, mens de fik ordrer om at blive hjemme for at forhindre spredning af coronavirus. Derefter løb alle væk, når sikkerhedsspørgsmål opstod og blev arbejdet på. I mellemtiden dukkede alternativer op.
Jitsi mødes fra 8 × 8 tilbyder en open source-mulighed til videokonference, der har funktioner som adgangskodebeskyttelse. Og, som kablede noter, er der tydelige fordele ved at have open source-software, der giver mulighed for ændringer fra udviklerfællesskabet:
Det faktum, at enhver kan ændre og dele Jitsis kode, betyder, at andre kan bygge værktøjet ind i deres software. WeSchool gjorde det. Det gjorde også open source-chat-softwaretjeneste Riot, som bruger Jitsi til sin videochatkomponent. Ivov siger, at 8 × 8 drager fordel af denne slags projekter, fordi de tester, hvordan Jitsis kode fungerer på forskellige enheder og i forskellige miljøer. Det hjælper det centrale Jitsi-udviklingsteam med at forbedre softwaren til både open source-brugere og betalte 8 × 8-kunder.
Lige nu tilbyder Jitsi kun ende-til-ende-kryptering til deres en-til-en-opkald, ikke konferencer for mere end to personer (som kræver brug af en centraliseret server, der skal dekryptere dataene) / De arbejder dog om at udvide ende-til-ende-kryptering til de større opkald.