Velkommen til denne februarudgave af SSL.com's Security Roundup. Det kan være vores korteste måned, men den var stadig fuld af udvikling i SSL /TLS, digitale certifikater og netværkssikkerhed. Denne måned dækker vi:
- Apple begrænser SSL /TLS Certifikater til lidt over et år
- DNS over HTTPS er nu en Firefox-standard
- Mere skrivning på væggen til TLS 1.0 og 1.1
- Chrome blokerer usikre downloads
Apple sætter ny tidsbegrænsning på certifikater
Som vi allerede har rapporteret, Apple har for nylig valgt at begrænse SSL /TLS certifikatets levetid til lidt over et år. På forummet CA / Browser (CA / B) i februar i Bratislava, Slovakiet, annoncerede Apple, at deres enheder og Safari-browser fra 1. september 2020 ikke længere ville acceptere certifikater med en levetid på mere end 398 dage. Der har endnu ikke været nogen officiel, skriftlig meddelelse fra Apple. (Update: Apple annoncerede politikændringen på sit websted den 3. marts 2020.) Som Registret noter:
Skærecertifikatets levetid er blevet mullret af Apple, Google og andre medlemmer af CA / Browser i flere måneder. Politikken har sine fordele og ulemper ... Målet med flytningen er at forbedre websidesikkerheden ved at sikre, at devs bruger certer med de nyeste kryptografiske standarder og at reducere antallet af gamle, forsømte certifikater, der potentielt kan blive stjålet og genbrugt til phishing og drive-by malware angreb. Hvis boffins eller miscreants er i stand til at bryde kryptografien i en SSL /TLS standard kortvarige certifikater vil sikre, at folk migrerer til mere sikre certs inden for ca. et år.
At et så markant skift sker på denne måde er noget overraskende, men skiftet i sig selv er det ikke. Kortere certifikatets levetid, som bemærket af Registret, er noget, som branchen har overvejet alvorligt for nylig. En afstemning i CA / B-forum i september kunne have ændret certifikatets maksimale gyldighedsperiode fra den nuværende 825-dages standard et år, men denne afstemning mislykkedes. Denne gang fandt det ikke afstemning - et selskab, der var så indflydelsesrig som Apple kan ændre standarden på egen hånd.
DNS over HTTPS Nu Firefox standard
Denne måned satte Mozilla DNS over HTTPS (DoH) som standard for amerikanske brugere af sin Firefox-browser. For dem, der er nye med konceptet: DoH krypterer DNS-oplysninger, der generelt ikke er krypteret (selv på sikre websteder) og forhindrer andre i at se, hvilke websteder folk besøger. For nogle enheder, der kan lide at samle data om brugere (som regeringen, eller dem, der håber at kunne drage fordel af at sælge de nævnte data), er det dårlige nyheder. Og nogle hævder også, at den øgede opacitet forhindrer nyttig spionage, der sporer kriminelle og giver mulighed for forældrekontrol ved browsing. Andre, som Mozilla (klart) og Electronic Frontier Foundation udråber fordelene ved DoH og understreger, at kryptering af webtrafik forbedrer privatlivets fred for offentligheden og afværger forsøg på at spore og censurere folk fra regeringen. Mozillas Firefox er den første browser, der som standard anvender standarden.
Firefox og Slack har haft det med TLS 1.0 og 1.1
I et entydigt skridt at slippe af med TLS 1.0 og 1.1 helt, Mozilla kræver nu en manuel tilsidesættelse fra brugere, der forsøger at oprette forbindelse til websteder ved hjælp af protokollerne. Ændringen er et skridt hen imod deres erklærede mål om at blokere sådanne websteder helt. Som The Verge rapporter, ændringen betyder, hvad der "virkelig er tiden" for TLS og 1.0 og 1.1, og Mozilla vil blive sammen med andre i den nærmeste fremtid:
Komplet support fjernes fra Safari i opdateringer til Apple iOS og macOS, der begynder i marts 2020. ' Google har sagt, at det vil fjerne support til TLS 1.0 og 1.1 i Chrome 81 (forventes den 17. marts). Microsoft sagde det ville gøre det samme "i første halvdel af 2020".
Mozilla er ikke den eneste store softwareleverandør, der styrer alle væk fra TLS 1.0 og 1.1. Denne måned, Slack sluttede støtte til dem også; selskabet siger, at de foretager ændringen "for at tilpasse sig branchens bedste praksis for sikkerhed og dataintegritet."
Chrome for at blokere usikre downloads
For nylig har browsere foretaget et skridt for at advare brugere om blandet indhold. Blandet indhold opstår, når websteder linker til usikkert HTTP-indhold (såsom billeder og downloads) fra HTTPS-sider og "blander" de to protokoller på en måde, der ikke er indlysende for brugerne uden en advarsel (vi har undersøgt konceptet dybere i denne artikel). Nu tager Chrome tingene et skridt videre og blokerer for blandet indhold fra at blive downloadet. Som Tech Times rapporter:
Fra og med Chrome 82, der udkommer i april, advarer Chrome brugere, hvis de er ved at downloade eksekverbare filer med blandet indhold fra et stabilt websted ... Derefter, når version 83 frigives, kan de eksekverbare downloads blokeres, og forsigtigheden kan implementeres til arkivering af filer. PDF-filer og .Doc-filer får advarslen i Chrome 84 med lyd-, billeder-, tekst- og videofiler, der viser det ved hjælp af den 85. version. Endelig kan alt downloadet indhold med blandet indhold - en ikke-stabil fil, der kommer fra et stabilt websted - muligvis blive blokeret fra udskrivningen af Chrome 86.
Her er et praktisk kort fra Google, der viser deres advarsel / blokerende tidslinje for forskellige typer blandet indhold: