en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Sicherheitsübersicht Februar 2020

Willkommen zu dieser Februar-Ausgabe der Sicherheitsübersicht von SSL.com. Es mag unser kürzester Monat sein, aber es war immer noch voller Entwicklungen bei SSL /TLS, digitale Zertifikate und Netzwerksicherheit. Diesen Monat werden wir Folgendes behandeln:

Apple setzt Zertifikaten ein neues Zeitlimit

Wie wir bereits berichtet habenApple hat sich kürzlich entschieden, SSL / zu beschränkenTLS Zertifikatslebensdauer bis etwas mehr als ein Jahr. Auf dem CA / Browser (CA / B) -Forum im Februar in Bratislava, Slowakei, gab Apple bekannt, dass ab dem 1. September 2020 Geräte und Safari-Browser keine Zertifikate mit einer Lebensdauer von mehr als 398 Tagen mehr akzeptieren werden. Es gibt noch keine offizielle schriftliche Ankündigung von Apple. ((Update: Apfel angekündigt die Richtlinienänderung auf seiner Website am 3. März 2020.) As Das Register Notizen:

Apple, Google und andere Mitglieder von CA / Browser haben monatelang über die Verkürzung der Lebensdauer von Zertifikaten nachgedacht. Die Richtlinie hat ihre Vor- und Nachteile. Ziel des Umzugs ist es, die Sicherheit der Website zu verbessern, indem sichergestellt wird, dass Entwickler Zertifikate mit den neuesten kryptografischen Standards verwenden, und die Anzahl alter, vernachlässigter Zertifikate verringert wird, die möglicherweise gestohlen und wiederverwendet werden könnten Phishing- und Drive-by-Malware-Angriffe. Wenn Boffins oder Missetäter in der Lage sind, die Kryptographie in einem SSL zu brechen /TLS Mit kurzlebigen Standardzertifikaten wird sichergestellt, dass Personen innerhalb eines Jahres zu sichereren Zertifikaten migrieren.

Dass auf diese Weise eine so bedeutende Verschiebung stattfindet, ist etwas überraschend, die Verschiebung selbst jedoch nicht. Kürzere Zertifikatslebensdauer, wie von angegeben Das Registersind etwas, über das die Branche in letzter Zeit ernsthaft nachgedacht hat. Eine Abstimmung im CA / B-Forum im September hätte die maximale Gültigkeitsdauer von Zertifikaten gegenüber dem aktuellen 825-Tage-Standard von einem Jahr ändern können. aber diese Abstimmung schlug fehl. Diesmal hat es keine Abstimmung gegeben - ein Unternehmen, das so einflussreich ist wie Apple, kann den Standard selbst ändern.

Das Mitnehmen von SSL.com: Obwohl die Verkürzung der Lebensdauer von Zertifikaten ein Gesprächsthema war, gab es in der gesamten Branche noch keinen Konsens. Dieser Schritt von Apple könnte diesen Konsens wahrscheinlich erzwingen und den Standard ändern. Es ist unklar, welchen Welleneffekt die Halbierung haben wird, aber es sieht so aus, als würden wir es alle gleich herausfinden!

DNS über HTTPS Jetzt Firefox Standard

Diesen Monat hat Mozilla eingestellt DNS über HTTPS (DoH) als Standard für US-Benutzer seines Firefox-Browsers. Für diejenigen, die neu im Konzept sind: DoH verschlüsselt DNS-Informationen, die im Allgemeinen unverschlüsselt sind (auch auf sicheren Websites), und verhindert, dass andere sehen, welche Websites von Menschen besucht werden. Für einige Unternehmen, die gerne Daten über Benutzer sammeln (wie die Regierung oder diejenigen, die vom Verkauf dieser Daten profitieren möchten), sind das schlechte Nachrichten. Und einige argumentieren auch, dass die erhöhte Deckkraft nützliches Spionieren verhindert, das Kriminelle verfolgt und die Kindersicherung beim Surfen ermöglicht. Andere, wie Mozilla (klar) und die Electronic Frontier Foundation Wir weisen auf die Vorteile von DoH hin und betonen, dass die Verschlüsselung des Webverkehrs die Privatsphäre der Öffentlichkeit verbessert und Versuche vereitelt, Personen durch die Regierung zu verfolgen und zu zensieren. Mozillas Firefox ist der erste Browser, der standardmäßig den Standard übernimmt.

Das Mitnehmen von SSL.com: Als Befürworter des Datenschutzes und einer robusteren Verschlüsselung erscheint uns diese Änderung durch Mozilla als weitgehend positive Sache, die sicherlich von Menschen abgelehnt wird, die vom Sammeln und Verkaufen von Daten profitieren, die von ahnungslosen Internetnutzern gesammelt wurden.

Firefox und Slack hatten es mit TLS 1.0 und 1.1

In einem eindeutigen Schritt loszuwerden TLS 1.0 und 1.1 vollständig, Mozilla ist jetzt erforderlich Eine manuelle Überschreibung von Benutzern, die versuchen, mithilfe der Protokolle eine Verbindung zu Websites herzustellen. Die Änderung ist ein Schritt in Richtung ihres erklärten Ziels, solche Websites vollständig zu blockieren. Wie The Verge Berichtebedeutet die Änderung, wofür „wirklich die Endzeit“ ist TLS und 1.0 und 1.1, und Mozilla wird in naher Zukunft von anderen unterstützt:

Bei Updates für Apple iOS und macOS wird die vollständige Unterstützung von Safari ab März 2020 entfernt. ' Google hat angekündigt, die Unterstützung für zu entfernen TLS 1.0 und 1.1 in Chrome 81 (voraussichtlich am 17. März). Microsoft sagte es würde das gleiche "in der ersten Hälfte des Jahres 2020" tun.

Mozilla ist nicht der einzige große Softwareanbieter, der alle davon abhält TLS 1.0 und 1.1. Diesen Monat Slack beendete auch die Unterstützung für sie;; Das Unternehmen sagt, dass es die Änderung vornimmt, "um sich an den Best Practices der Branche für Sicherheit und Datenintegrität auszurichten".

Das Mitnehmen von SSL.com: Die Nachricht hier ist ziemlich einfach. Hör auf zu benutzen TLS 1.0 und 1.1 auf Ihren Websites, und halten Sie Ihre Browser auf dem neuesten Stand.

Chrome blockiert unsichere Downloads

In letzter Zeit haben Browser versucht, Benutzer zu warnen gemischter Inhalt. Gemischte Inhalte treten auf, wenn Websites von HTTPS-Seiten auf unsichere HTTP-Inhalte (wie Bilder und Downloads) verweisen und die beiden Protokolle auf eine Weise „mischen“, die für Benutzer ohne Warnung nicht offensichtlich ist (wir haben das Konzept eingehender untersucht In diesem Artikel). Jetzt geht Chrome noch einen Schritt weiter und verhindert, dass gemischte Inhalte heruntergeladen werden. Als die Tech-Zeiten Berichte:

Ab Chrome 82, das im April veröffentlicht werden soll, warnt Chrome Benutzer, wenn sie ausführbare Dateien mit gemischtem Inhalt von einer stabilen Website herunterladen möchten. Wenn Version 83 veröffentlicht wird, können die ausführbaren Downloads blockiert werden, und die Vorsicht kann dies sein implementiert werden, um Dateien zu archivieren. PDFs und DOC-Dateien erhalten in Chrome 84 eine Warnung, die mithilfe der 85. Version in Audio-, Bild-, Text- und Videodateien angezeigt wird. Schließlich können alle Downloads gemischter Inhalte - eine nicht stabile Datei, die von einer stabilen Site stammt - ab dem Entladen von Chrome 86 blockiert werden.

Hier ist ein praktisches Diagramm von Google, das die Warn- / Blockierungszeitleiste für verschiedene Arten von gemischten Inhalten zeigt:

Zeitplan zum Blockieren gemischter Inhalte in Chrome

Das Mitnehmen von SSL.com: Wenn Sie eine Site haben, die HTTP-Ressourcen von HTTPS-Seiten bereitstellt, schneiden Sie sie aus! Es könnte dich blockieren.
Vielen Dank, dass Sie sich für SSL.com entschieden haben! Bei Fragen wenden Sie sich bitte per E-Mail an Support@SSL.com, Anruf 1-877-SSL-SECUREoder klicken Sie einfach auf den Chat-Link unten rechts auf dieser Seite.


Abonnieren Sie den Newsletter von SSL.com

Verpassen Sie keine neuen Artikel und Updates von SSL.com