Καλώς ήλθατε σε αυτήν την έκδοση Φεβρουαρίου του Roundup ασφαλείας του SSL.com. Μπορεί να είναι ο συντομότερος μήνας μας, αλλά ήταν ακόμα γεμάτος εξελίξεις στο SSL /TLS, ψηφιακά πιστοποιητικά και ασφάλεια δικτύου. Αυτό το μήνα, θα καλύψουμε:
- Η Apple περιορίζει SSL /TLS Πιστοποιητικά για λίγο περισσότερο από ένα χρόνο
- Το DNS μέσω HTTPS είναι πλέον προεπιλεγμένο Firefox
- Περισσότερα γράψιμο στον τοίχο για TLS 1.0 και 1.1
- Το Chrome θα αποκλείσει τις μη ασφαλείς λήψεις
Η Apple θέτει νέο χρονικό όριο στα πιστοποιητικά
Όπως έχουμε ήδη αναφέρει, Η Apple επέλεξε πρόσφατα να περιορίσει το SSL /TLS διάρκεια ζωής πιστοποιητικού σε λίγο περισσότερο από ένα χρόνο. Στο φόρουμ CA / Browser (CA / B) του Φεβρουαρίου στη Μπρατισλάβα της Σλοβακίας, η Apple ανακοίνωσε ότι, από την 1η Σεπτεμβρίου 2020, οι συσκευές τους και το πρόγραμμα περιήγησης Safari δεν θα δέχονται πλέον πιστοποιητικά με διάρκεια ζωής μεγαλύτερη από 398 ημέρες. Δεν έχει υπάρξει επίσημη, γραπτή ανακοίνωση από την Apple μέχρι σήμερα. (Ενημέρωση: Apple ανακοίνωσε η αλλαγή πολιτικής στον ιστότοπό της στις 3 Μαρτίου 2020.) Ως Το μητρώο σημειώσεις:
Η διάρκεια ζωής του πιστοποιητικού κοπής έχει προβληματιστεί από την Apple, την Google και άλλα μέλη της CA / Browser για μήνες. Η πολιτική έχει τα οφέλη και τα μειονεκτήματά της… Ο στόχος της κίνησης είναι να βελτιώσει την ασφάλεια του ιστότοπου, διασφαλίζοντας ότι οι προγραμματιστές χρησιμοποιούν πιστοποιητικά με τα πιο πρόσφατα κρυπτογραφικά πρότυπα και μειώνουν τον αριθμό των παλαιών, παραμελημένων πιστοποιητικών που θα μπορούσαν ενδεχομένως να κλαπούν και να επαναχρησιμοποιηθούν για phishing και επιθέσεις κακόβουλου λογισμικού. Εάν οι φέρετροι ή οι κακοποιοί είναι σε θέση να σπάσουν την κρυπτογραφία σε SSL /TLS Τα τυπικά, βραχύβια πιστοποιητικά θα διασφαλίσουν ότι οι άνθρωποι θα μεταναστεύσουν σε πιο ασφαλή πιστοποιητικά εντός περίπου ενός έτους.
Ότι μια τέτοια σημαντική αλλαγή συμβαίνει με αυτόν τον τρόπο είναι κάπως έκπληξη, αλλά η ίδια η αλλαγή δεν είναι. Μικρότερη διάρκεια ζωής πιστοποιητικού, όπως σημειώνεται από το Το μητρώο, είναι κάτι που η βιομηχανία έχει εξετάσει σοβαρά πρόσφατα. Μια ψηφοφορία φόρουμ CA / B του Σεπτεμβρίου θα μπορούσε να έχει αλλάξει τη μέγιστη περίοδο ισχύος των πιστοποιητικών από το τρέχον πρότυπο 825 ημερών ένα έτος, αλλά η ψηφοφορία απέτυχε. Αυτή τη φορά δεν πήρε ψήφο - μια εταιρεία τόσο επιρροή όσο η Apple μπορεί να αλλάξει το πρότυπο από μόνη της.
DNS μέσω HTTPS Τώρα προεπιλογή Firefox
Αυτό το μήνα, ο Mozilla έθεσε DNS μέσω HTTPS (DoH) ως προεπιλογή για χρήστες των ΗΠΑ του προγράμματος περιήγησης Firefox. Για όσους είναι νέοι στην ιδέα: Το DoH κρυπτογραφεί πληροφορίες DNS που είναι γενικά μη κρυπτογραφημένες (ακόμη και σε ασφαλείς ιστότοπους) και εμποδίζει τους άλλους να βλέπουν τους ιστότοπους που επισκέπτονται οι άνθρωποι. Για ορισμένες οντότητες που επιθυμούν να συλλέγουν δεδομένα για τους χρήστες (όπως η κυβέρνηση ή εκείνοι που ελπίζουν να επωφεληθούν από την πώληση των εν λόγω δεδομένων) είναι κακά νέα Και ορισμένοι υποστηρίζουν επίσης ότι η αυξημένη αδιαφάνεια αποτρέπει τη χρήσιμη κατασκοπεία που παρακολουθεί τους εγκληματίες και επιτρέπει γονικούς ελέγχους κατά την περιήγηση. Άλλοι, όπως ο Mozilla (σαφώς) και το Electronic Frontier Foundation για τα οφέλη της DoH, τονίζοντας ότι η κρυπτογράφηση της κίνησης ιστού βελτιώνει το απόρρητο για το κοινό και εμποδίζει τις προσπάθειες παρακολούθησης και λογοκρισίας ατόμων από την κυβέρνηση. Το Mozilla's Firefox είναι το πρώτο πρόγραμμα περιήγησης που υιοθετεί το πρότυπο από προεπιλογή.
Ο Firefox και ο Slack το είχαν TLS 1.0 και 1.1
Σε μια ξεκάθαρη κίνηση για να ξεφορτωθείτε TLS 1.0 και 1.1 εξ ολοκλήρου, Mozilla απαιτεί τώρα μη αυτόματη παράκαμψη από χρήστες που προσπαθούν να συνδεθούν σε ιστότοπους χρησιμοποιώντας τα πρωτόκολλα. Η αλλαγή είναι ένα βήμα προς τον δηλωμένο στόχο του αποκλεισμού τέτοιων ιστότοπων. Οπως και Η Verge εκθέσεις, η αλλαγή σημαίνει τι είναι «πραγματικά οι ώρες λήξης» TLS και 1.0 και 1.1, και ο Mozilla θα ενταχθεί από άλλους στο εγγύς μέλλον:
Η πλήρης υποστήριξη θα καταργηθεί από το Safari σε ενημερώσεις για Apple iOS και macOS από τον Μάρτιο του 2020. " Η Google είπε ότι θα καταργήσει την υποστήριξη για TLS 1.0 και 1.1 στο Chrome 81 (αναμένεται στις 17 Μαρτίου). Microsoft είπε θα έκανε το ίδιο «κατά το πρώτο εξάμηνο του 2020».
Η Mozilla δεν είναι ο μόνος μεγάλος προμηθευτής λογισμικού που απομακρύνει όλους TLS 1.0 και 1.1. Αυτόν τον μήνα, Slack τελείωσε την υποστήριξή τους επίσης; η εταιρεία λέει ότι κάνουν την αλλαγή «για να ευθυγραμμιστούν με τις βέλτιστες πρακτικές του κλάδου για την ασφάλεια και την ακεραιότητα των δεδομένων».
Chrome για αποκλεισμό μη ασφαλών λήψεων
Πρόσφατα, τα προγράμματα περιήγησης προβαίνουν σε προειδοποιήσεις για τους χρήστες μεικτό περιεχόμενο. Το μεικτό περιεχόμενο εμφανίζεται όταν οι ιστότοποι συνδέονται με μη ασφαλές περιεχόμενο HTTP (όπως εικόνες και λήψεις) από σελίδες HTTPS, «αναμειγνύοντας» τα δύο πρωτόκολλα με τρόπο που δεν είναι προφανές στους χρήστες χωρίς προειδοποίηση (έχουμε εξετάσει την έννοια πιο βαθιά σε αυτό το άρθρο). Τώρα το Chrome προχωράει ένα βήμα παραπέρα και θα αποκλείει τη λήψη μικτού περιεχομένου. Ως το Tech Times εκθέσεις:
Ξεκινώντας με το Chrome 82, που πρόκειται να κυκλοφορήσει τον Απρίλιο, το Chrome θα προειδοποιήσει τους χρήστες εάν πρόκειται να κατεβάσουν εκτελέσιμα μικτού περιεχομένου από έναν σταθερό ιστότοπο… Στη συνέχεια, όταν κυκλοφορήσει η έκδοση 83, θα μπορούσαν να αποκλειστούν αυτές οι εκτελέσιμες λήψεις και η προσοχή μπορεί να να εφαρμοστεί στα αρχεία αρχειοθέτησης. Τα αρχεία PDF και .Doc θα λάβουν την προειδοποίηση στο Chrome 84, με αρχεία ήχου, εικόνων, κειμένου και βίντεο που το δείχνουν με τη βοήθεια της 85ης έκδοσης. Τέλος, όλες οι λήψεις μικτού περιεχομένου - ένα μη σταθερό αρχείο που προέρχεται από έναν σταθερό ιστότοπο - ενδέχεται να αποκλειστούν από την απαλλαγή του Chrome 86.
Ακολουθεί ένα εύχρηστο γράφημα από την Google που δείχνει το χρονοδιάγραμμα προειδοποίησης / αποκλεισμού για διαφορετικούς τύπους μικτού περιεχομένου:
