Willkommen zu dieser April-Ausgabe der Sicherheitsübersicht von SSL.com! Viele von uns wurden im letzten Monat eingepfercht, aber das Online-Leben ist immer noch gut, was bedeutet, dass wir in Bezug auf digitale Sicherheit viel zu tun haben. Diesen Monat werfen wir einen Blick auf:
- Microsoft verschiebt TLS 1.0 und 1.0 Abschreibung
- Nur HTTPS-Modus in Firefox 76
- Erweiterter Clientzertifikatzugriff für Firefox 75
- Eine Open-Source-Alternative zu Zoom
Microsoft verschiebt TLS 1.0 und 1.1 Abschreibung
Obwohl Microsoft geplant hatte, die Transport Layer-Sicherheit zu deaktivieren (TLS) Versionen 1.0 und 1.1 irgendwann in diesem Frühjahr das Unternehmen angekündigt dass "angesichts der aktuellen Ereignisse" dieser Plan nun auf das Jahresende verschoben wird.
Während das wie eine bequeme Entschuldigung dafür klingt, keine Maßnahmen zu ergreifen, ghacks.net berichtet dass ein weit verbreitetes Versprechen der Browser, die Sicherheitsprotokolle zu deaktivieren, während der Pandemie tatsächlich zu einem Problem wurde. Sie schreiben:
Einige, wie Mozilla, haben die Änderung durchgeführt, sie jedoch rückgängig gemacht, als klar wurde, dass einige Regierungsseiten sich immer noch auf diese Protokolle stützten. Benutzer von Firefox konnten aufgrund der deaktivierten Protokolle nicht mehr auf diese Websites zugreifen. Mozilla hat die Protokolle erneut aktiviert, um sicherzustellen, dass Firefox-Benutzer weltweit in Krisenzeiten auf wichtige Websites zugreifen können.
Derzeit plant Microsoft, im Juli eine neue Chromium-basierte Microsoft Edge-Version 84r herauszubringen TLS 1.0 und 1.1 sind standardmäßig deaktiviert. Microsoft Internet Explorer 11 und Classic Microsoft Edge deaktivieren die Protokolle am 8. September.
Firefox 76 erhält den optionalen Nur-HTTPS-Modus
Mozilla hat angekündigt, den Nutzern eine anzubieten Nur HTTPS-Modus in Version 76 des Firefox-Browsers. Laut Softpedia Die Funktion wird dazu dienen, die wenigen an HTTP klammernden Nachzügler in die Sicherheit zu bringen HTTPS Protokoll. Nach der Aktivierung im Browser werden HTTP-Sites nicht mehr geladen. Stattdessen versucht der Browser, die Verbindung zu HTTPS zu aktualisieren. Wenn dies nicht verfügbar ist, erhalten Benutzer vorerst eine Warnung "Secure Connection Failed", die entweder beachtet oder ignoriert werden kann.
Firefox 76 bietet dieses sicherere Surfen derzeit nur als Option an - nicht als Standard -, sodass Benutzer sich für die reine HTTPS-Erfahrung entscheiden müssen.
In Firefox 75 vereinfachte Client-Zertifikate
In weiteren guten Nachrichten über Firefox, Mozilla kündigte an dass sie die Verwendung von Clientzertifikaten in Version 75 des Browsers vereinfachen, indem sie ihm erlauben, auf den Zertifikatspeicher des Betriebssystems unter Windows und macOS zuzugreifen. Bis zu diesem Zeitpunkt mussten Benutzer von Firefox mit Client-Zertifikaten im Browser arbeiten, indem sie eine Bibliothek eines Drittanbieters luden, um mit Hardware-Token zu kommunizieren, oder Zertifikate und private Schlüssel in den eigenen Zertifikatspeicher des Browsers importierten. Dies ist nicht der sicherste Weg, um Dinge zu erledigen, und kann auch Stabilitätsprobleme verursachen.
Jetzt hat Firefox wie Chrome und andere Browser eine eigene Bibliothek für die Schnittstelle zum Speichern von Betriebssystemzertifikaten entwickelt. Von dem Blog:
Anstatt Bibliotheken von Drittanbietern für die Kommunikation mit Hardwaretoken zu laden, kann Firefox diese Aufgabe an das Betriebssystem delegieren. Anstatt den Benutzer zu zwingen, Client-Zertifikate zu exportieren und sie erneut in sein Firefox-Profil zu importieren, kann Firefox diese Zertifikate direkt suchen. Zusätzlich zum Schutz privater Schlüssel ermöglicht dieser neue Mechanismus Firefox die Verwendung von Client-Zertifikaten mit nicht exportierbaren Schlüsseln. Wir erwarten, dass diese Funktion für unsere Unternehmensbenutzer von großem Nutzen ist, die zuvor große Anstrengungen unternommen haben, um Firefox für die Arbeit in ihrer Umgebung zu konfigurieren .
Jitsi bietet eine Open-Source-Alternative zum Zoomen
Zoom hat letzten Monat viele Schlagzeilen gemacht. Zuerst sprangen alle auf Zoom, um von zu Hause aus eine Verbindung zu Arbeit, Freunden und Familie herzustellen, während sie befohlen wurden, zu Hause zu bleiben, um die Ausbreitung des Coronavirus zu verhindern. Dann rannten alle weg, als Sicherheitsprobleme auftraten und an denen gearbeitet wurde. Inzwischen entstanden Alternativen.
Jitsi treffen sich ab 8 × 8 bietet eine Open-Source-Option für Videokonferenzen mit Funktionen wie Passwortschutz. Und, als kabelgebundene NotizenOpen-Source-Software bietet eindeutige Vorteile, die Änderungen durch die Entwicklergemeinschaft ermöglichen:
Die Tatsache, dass jeder Jitsis Code ändern und freigeben kann, bedeutet, dass andere das Tool in ihre Software integrieren können. WeSchool hat das gemacht. Open-Source-Chat-Software auch Aufruhr, die Jitsi für ihre Video-Chat-Komponente verwendet. Laut Ivov profitiert 8 × 8 von solchen Projekten, da sie die Leistung von Jitsis Code auf verschiedenen Geräten und in verschiedenen Umgebungen testen. Dies hilft dem Jitsi-Entwicklungsteam, die Software sowohl für Open-Source-Benutzer als auch für bezahlte 8 × 8-Kunden zu verbessern.
Derzeit bietet Jitsi nur End-to-End-Verschlüsselung für Einzelgespräche an, nicht Konferenzen mit mehr als zwei Personen (für die ein zentraler Server erforderlich ist, der die Daten entschlüsseln muss). Sie arbeiten jedoch über die Erweiterung der End-to-End-Verschlüsselung auf diese größeren Anrufe.
