Februar 2020 sikkerhedsrunde

Februar's roundup dækker kortere levetid certifikater i Apple Safari, DoH i Firefox, faldet på TLS 1.0 og 1.1, og blandet indholdsblokering i Chrome.

Lignende indhold

Vil du blive ved med at lære?

Tilmeld dig SSL.com's nyhedsbrev, bliv informeret og sikker.

Velkommen til denne februarudgave af SSL.com's Security Roundup. Det kan være vores korteste måned, men den var stadig fuld af udvikling i SSL /TLS, digitale certifikater og netværkssikkerhed. Denne måned dækker vi:

Apple sætter ny tidsbegrænsning på certifikater

Som vi allerede har rapporteret, Apple har for nylig valgt at begrænse SSL /TLS certifikatets levetid til lidt over et år. På forummet CA / Browser (CA / B) i februar i Bratislava, Slovakiet, annoncerede Apple, at deres enheder og Safari-browser fra 1. september 2020 ikke længere ville acceptere certifikater med en levetid på mere end 398 dage. Der har endnu ikke været nogen officiel, skriftlig meddelelse fra Apple. (Update: Apple annoncerede politikændringen på sit websted den 3. marts 2020.) Som Registret noter:

Skærecertifikatets levetid er blevet mullret af Apple, Google og andre medlemmer af CA / Browser i flere måneder. Politikken har sine fordele og ulemper ... Målet med flytningen er at forbedre websidesikkerheden ved at sikre, at devs bruger certer med de nyeste kryptografiske standarder og at reducere antallet af gamle, forsømte certifikater, der potentielt kan blive stjålet og genbrugt til phishing og drive-by malware angreb. Hvis boffins eller miscreants er i stand til at bryde kryptografien i en SSL /TLS standard kortvarige certifikater vil sikre, at folk migrerer til mere sikre certs inden for ca. et år.

At et så markant skift sker på denne måde er noget overraskende, men skiftet i sig selv er det ikke. Kortere certifikatets levetid, som bemærket af Registret, er noget, som branchen har overvejet alvorligt for nylig. En afstemning i CA / B-forum i september kunne have ændret certifikatets maksimale gyldighedsperiode fra den nuværende 825-dages standard et år, men denne afstemning mislykkedes. Denne gang fandt det ikke afstemning - et selskab, der var så indflydelsesrig som Apple kan ændre standarden på egen hånd.

SSL.com's takeaway: Selvom det har været et samtale at reducere certifikatets levetid, har der endnu ikke været en konsensus om at gøre det på tværs af branchen. Dette træk fra Apple kunne sandsynligvis tvinge denne konsensus og ændre standarden. Det er uklart, hvilken ringvirkning halveringen har, men det ser ud til, at vi alle er ved at finde ud af det!

DNS over HTTPS Nu Firefox standard

Denne måned satte Mozilla DNS over HTTPS (DoH) som standard for amerikanske brugere af sin Firefox-browser. For dem, der er nye med konceptet: DoH krypterer DNS-oplysninger, der generelt ikke er krypteret (selv på sikre websteder) og forhindrer andre i at se, hvilke websteder folk besøger. For nogle enheder, der kan lide at samle data om brugere (som regeringen, eller dem, der håber at kunne drage fordel af at sælge de nævnte data), er det dårlige nyheder. Og nogle hævder også, at den øgede opacitet forhindrer nyttig spionage, der sporer kriminelle og giver mulighed for forældrekontrol ved browsing. Andre, som Mozilla (klart) og Electronic Frontier Foundation udråber fordelene ved DoH og understreger, at kryptering af webtrafik forbedrer privatlivets fred for offentligheden og afværger forsøg på at spore og censurere folk fra regeringen. Mozillas Firefox er den første browser, der som standard anvender standarden.

SSL.com's takeaway: Som tilhængere af privatlivets fred og mere robust kryptering, slår denne ændring af Mozilla os som en stort set positiv ting, der er sikker på at blive modsat af folk, der tjener på at indsamle og sælge data indsamlet om intetanende internetbrugere.

Firefox og Slack har haft det med TLS 1.0 og 1.1

I et entydigt skridt at slippe af med TLS 1.0 og 1.1 helt, Mozilla kræver nu en manuel tilsidesættelse fra brugere, der forsøger at oprette forbindelse til websteder ved hjælp af protokollerne. Ændringen er et skridt hen imod deres erklærede mål om at blokere sådanne websteder helt. Som The Verge rapporter, ændringen betyder, hvad der "virkelig er tiden" for TLS og 1.0 og 1.1, og Mozilla vil blive sammen med andre i den nærmeste fremtid:

Komplet support fjernes fra Safari i opdateringer til Apple iOS og macOS, der begynder i marts 2020. ' Google har sagt, at det vil fjerne support til TLS 1.0 og 1.1 i Chrome 81 (forventes den 17. marts). Microsoft sagde det ville gøre det samme "i første halvdel af 2020".

Mozilla er ikke den eneste store softwareleverandør, der styrer alle væk fra TLS 1.0 og 1.1. Denne måned, Slack sluttede støtte til dem også; selskabet siger, at de foretager ændringen "for at tilpasse sig branchens bedste praksis for sikkerhed og dataintegritet."

SSL.com's takeaway: Beskeden her er ret ligetil. Stop med at bruge TLS 1.0 og 1.1 på dine websteder, og sørg for at holde dine browsere opdaterede.

Chrome for at blokere usikre downloads

For nylig har browsere foretaget et skridt for at advare brugere om blandet indhold. Blandet indhold opstår, når websteder linker til usikkert HTTP-indhold (såsom billeder og downloads) fra HTTPS-sider og "blander" de to protokoller på en måde, der ikke er indlysende for brugerne uden en advarsel (vi har undersøgt konceptet dybere i denne artikel). Nu tager Chrome tingene et skridt videre og blokerer for blandet indhold fra at blive downloadet. Som Tech Times rapporter:

Fra og med Chrome 82, der udkommer i april, advarer Chrome brugere, hvis de er ved at downloade eksekverbare filer med blandet indhold fra et stabilt websted ... Derefter, når version 83 frigives, kan de eksekverbare downloads blokeres, og forsigtigheden kan implementeres til arkivering af filer. PDF-filer og .Doc-filer får advarslen i Chrome 84 med lyd-, billeder-, tekst- og videofiler, der viser det ved hjælp af den 85. version. Endelig kan alt downloadet indhold med blandet indhold - en ikke-stabil fil, der kommer fra et stabilt websted - muligvis blive blokeret fra udskrivningen af ​​Chrome 86.

Her er et praktisk kort fra Google, der viser deres advarsel / blokerende tidslinje for forskellige typer blandet indhold:

Planlæg for blokering af blandet indhold i Chrome

SSL.com's takeaway: Hvis du har et websted, der serverer HTTP-ressourcer fra HTTPS-sider, skal du skære det ud! Det kan få dig blokeret.
Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side.


Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.