Sicherheitsübersicht Juli 2020

Julys Zusammenfassung behandelt die Sicherheit von MS Edge, gemischte Inhalte in Chrome 85, 398-Tage-Zertifikate in Chrome und Firefox sowie TLS 1.0 und 1.1 Verfall in MS Office.

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

Wir berichten ab dem Hochsommer live und freuen uns, Ihnen eine Juli-Zusammenfassung aus der Welt der digitalen Sicherheit zu bringen! Diesen Monat werfen wir einen Blick auf:

NSS Labs verleiht Microsoft Edge die Bestnote für Phishing und Malware-Prävention

Bisher hat sich Microsoft Edge als ernstzunehmender Konkurrent etablierterer Browser erwiesen, und neue Updates stärken seine Position nur. EIN berichten von Kate O'Flaherty in Forbes merkt an, dass es immer noch der Browser Nummer zwei ist, aber die jüngsten Updates haben es in Bezug auf Sicherheit unübertroffen gemacht. Von der Forbes-Artikel:

Aber ein neuer Bericht von NSS Labs Microsoft Edge hat Chrome bei den Sicherheitsmaßnahmen tatsächlich geschlagen. Weil es benutzt Microsoft Defender-SmartScreenEs wurde festgestellt, dass Edge im Vergleich zu den anderen getesteten Browsern den besten Phishing-Schutz bietet und 95.5% der Phishing-URLs blockiert. Google, das die verwendet Safe Browsing APIbelegte mit 86.9% den zweiten Platz.

Als Microsoft fokussierte Site OnMsft Berichten zufolge zeigt ein weiterer separater NSS Labs-Bericht, dass Edge auch einen besseren Malware-Schutz bietet als die Konkurrenten Chrome, Firefox und Opera. Microsoft Edge blockiert 98.5% der Malware, während Firefox auf dem zweiten Platz durchschnittlich 86.1% blockiert, gefolgt von Google Chrome mit 86.0%.

Es ist natürlich eine gute Zeit, sich auf die Browsersicherheit zu konzentrieren, da mehr Arbeit und Betrieb vom Büro auf ein dezentrales Work-at-Home-Modell umgestellt werden. Wir werden die Updates, die Edge weiterhin veröffentlicht, im Auge behalten und beobachten, wie der Browser darum kämpft, den Markt zu dominieren.

Das Mitnehmen von SSL.com: Wir bei SSL.com sind große Fans des Wettbewerbs, insbesondere wenn es um die Sicherheit der Benutzer geht. Es ist schön zu sehen, dass Microsoft Edge die Sicherheit mit seinem neuen Chromium-basierten Edge-Browser ernst nimmt.

Bilder, die bis zum Ende des Sommers in Chrome 85 automatisch auf HTTPS aktualisiert werden sollen

In einem weiteren Schritt in Richtung einer umfassenden Implementierung von HTTPS wird die nächste Hauptversion von Chrome automatisch über HTTP bereitgestellte Images von HTTPS-Websites auf das sicherere Protokoll aktualisieren. In Chrome 85, dessen stabile Version am 25. August veröffentlicht wird, ist HTTPS die einzige Option für Bilder, die von HTTPS-Websites bereitgestellt werden. Wenn dies nicht verfügbar ist, werden die Bilder einfach nicht in Chrome angezeigt.

Wie immer der Chromium Blog hat mehr Details:

Chrome ist jetzt Bilder automatisch aktualisieren Wird über HTTP von HTTPS-Sites bereitgestellt, indem URLs in HTTPS umgeschrieben werden, ohne auf HTTP zurückzugreifen, wenn kein sicherer Inhalt verfügbar ist. Chrome aktualisiert Audio- und Videoinhalte seit Version 80 automatisch.

Es ist ein guter Schritt nach vorne und eine gute Erinnerung daran gemischten Inhalt beseitigen auf Websites!

Das Mitnehmen von SSL.com:  Wenn du es noch nicht getan hast gemischten Inhalt beseitigt Von Ihrer Website ist jetzt die Zeit! Wenn aus diesen neuen Informationen nicht hervorgeht, stellen Sie sicher, dass alle Bilder auf Ihren HTTPS-Websites vor dem 25. August über HTTPS verfügbar sind, wenn Sie möchten, dass sie von Chrome-Nutzern angezeigt werden.

Chrome und Firefox folgen Apple mit 398-Tage-Zertifikaten

Nun, es ist offiziell. Ab dem 1. September lehnt jede Apple-Software (im Wesentlichen) SSL / abTLS Zertifikate, die länger als 398 Tage gültig sind. Die Branche hat gewusst, dass dies seit Februar geschehen wird. Obwohl es immer noch bemerkenswert ist, ist die wirkliche Neuigkeit, dass Chrome und Firefox offiziell diesem Beispiel folgen und Mozilla sich darauf vorbereitet, in seinem Browser auf 398-Zertifikate umzusteigen Bestätigung im Chromium-Quellcode dass Chrome ab dem 1. September denselben Standard durchsetzen würde.

Das Register berichtete über das „Snubbing“ von 2-Jahres-Zertifikaten in einem Artikel von Shaun Nichols über die Änderung:

Apple geht davon aus, dass diese Richtlinie sicherstellt, dass Websites und Apps ihre Zertifikate einmal im Jahr aktualisieren, wodurch sie dazu ermutigt werden, die neuesten kryptografischen Standards zu verwenden, und dass gestohlene Zertifikate nicht für lang laufende Phishing-Kampagnen und andere Spielereien verwendet werden können, da sie früh genug ablaufen.

… Es genügt zu sagen, dass Zertifikatsverkäufer von der Änderung irritiert waren. "Die einseitige Entscheidung von Apple gegen die Ergebnisse der Abstimmung macht das CA / B-Forum aus unserer Sicht ein wenig nutzlos", schnüffelte das spanische Unternehmen Firmaprofesional.

Alle Anzeichen deuten darauf hin, dass jeder, der Apples Führung folgt, die Lebensdauer von Zertifikaten verkürzt. Derzeit muss Microsoft noch bekannt geben, was sie tun werden. Angesichts der Tatsache, dass der Edge-Browser des Unternehmens Chrome als Engine verwendet, ist es jedoch einfach, Schlussfolgerungen zu ziehen.

Das Mitnehmen von SSL.com: Wir haben vorausgesagt, dass dies wahrscheinlich passieren wird im FebruarDa der einseitige Schritt von Apple, die Lebensdauer von Zertifikaten zu verkürzen, einen neuen Branchenkonsens erzwungen hat. In der Tat hat SSL.com bereits Pläne gemacht Um die Richtlinien von Apple einzuhalten, bevor die Änderung in Kraft tritt, sind die Kunden von SSL.com nicht von Browsern betroffen, die die neuen, kürzeren Zertifikatslebensdauern verwenden.

Microsoft erzwingt die Ablehnung von TLS 1.0 und 1.1 für Office 365

Nach einer Verzögerung im Zusammenhang mit einer Pandemie wird Microsoft offiziell Beginnen Sie mit der Durchsetzung der Abschreibung dauert ebenfalls 3 Jahre. Das erste Jahr ist das sog. TLS 1.0- und 1.1-Protokolle - von denen bekannt ist, dass sie unsicher sind - in Office 365. Die Protokolle waren zum 31. Oktober 2018 tatsächlich veraltet. Laut Microsoft wurde die Durchsetzung zurückgesetzt und sollte am 15. Oktober betriebsbereit sein , 2020.

Ehrlich gesagt wirkt sich dies nicht auf zu viele Benutzer aus, die der Office-Client verwenden kann TLS 1.2 wenn vom lokalen Computer unterstützt. Es könnte jedoch erwähnenswert sein, dass TLS 1.2 ist unter Windows 7 ohne das nicht verfügbar KB 3140245 Update. Wer einen technischen Überblick über die Änderung sucht, kann sich an die wenden Microsoft BlogDas erklärt alles.

Das Mitnehmen von SSL.com: Wie oben erwähnt, sind die meisten Benutzer von dieser Änderung nicht betroffen, da alle modernen Betriebssysteme dies unterstützen TLS 1.2. Windows 7-Benutzer können sicherstellen, dass das erforderliche Update auf ihren Systemen angewendet wurde. Sie sollten jedoch dringend ein Upgrade auf Windows 10 in Betracht ziehen, um Windows 7 (einschließlich Sicherheitspatches) zu unterstützen. beendet zurück am 14. Januar 2020.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.