Ενημέρωση ασφαλείας Απριλίου 2020

Συνοπτικές εκθέσεις του Απριλίου TLS 1.0 και 1.1 στα προγράμματα περιήγησης της Microsoft, λειτουργία μόνο HTTPS και πιστοποιητικά πελάτη στον Firefox και εναλλακτικό Jitsi Zoom.

Καλώς ήλθατε σε αυτήν την έκδοση Απριλίου του SSL.com για το Security Roundup! Πολλοί από εμάς έχουν συσσωρευτεί μέσα στον τελευταίο μήνα, αλλά η ζωή στο διαδίκτυο συνεχίζει να είναι δυνατή, πράγμα που σημαίνει ότι έχουμε πολλά να ολοκληρώσουμε όταν πρόκειται για ψηφιακή ασφάλεια. Αυτό το μήνα θα ρίξουμε μια ματιά στα:

Η Microsoft αναβάλλει TLS 1.0 και 1.1 Κατάργηση

Αν και η Microsoft είχε προγραμματίσει να απενεργοποιήσει το Transport Layer Security (TLS) εκδόσεις 1.0 και 1.1 κάποια στιγμή την άνοιξη, η εταιρεία ανακοίνωσε ότι «υπό το φως των τρεχόντων γεγονότων», το σχέδιο αυτό θα αναβληθεί τώρα στο τέλος του έτους.

Ενώ αυτό μπορεί να ακούγεται σαν μια βολική δικαιολογία για τη μη ανάληψη δράσης, αναφορές ghacks.net ότι μια ευρέως διαδεδομένη δέσμευση μεταξύ των προγραμμάτων περιήγησης για απενεργοποίηση των πρωτοκόλλων ασφαλείας έγινε πράγματι θέμα κατά την πανδημία. Γράφουν:

Κάποιοι, όπως ο Mozilla, προχώρησαν στην αλλαγή, αλλά το ανέστρεψαν όταν έγινε σαφές ότι ορισμένοι κυβερνητικοί ιστότοποι εξακολουθούσαν να βασίζονται σε αυτά τα πρωτόκολλα. Οι χρήστες του Firefox δεν μπορούσαν πλέον να έχουν πρόσβαση σε αυτούς τους ιστότοπους λόγω των απενεργοποιημένων πρωτοκόλλων. Η Mozilla επανενεργοποίησε τα πρωτόκολλα για να βεβαιωθεί ότι οι χρήστες του Firefox παγκοσμίως μπορούν να έχουν πρόσβαση σε σημαντικούς ιστότοπους σε μια περίοδο κρίσης.

Αυτήν τη στιγμή, η Microsoft σχεδιάζει να κυκλοφορήσει μια νέα έκδοση Microsoftrge με βάση το Chromium 84r τον Ιούλιο όπου TLS 1.0 και 1.1 θα απενεργοποιηθούν από προεπιλογή. Ο Microsoft Internet Explorer 11 και το Classic Microsoft Edge θα απενεργοποιήσουν τα πρωτόκολλα στις 8 Σεπτεμβρίου.

Απογείωση SSL.com: Σας προειδοποιούμε εδώ και αρκετό καιρό ότι αυτά τα πρωτόκολλα είναι ξεπερασμένα και ανασφαλή, και αυτή η τελευταία ρυτίδα δεν το αλλάζει. Επειδή υπάρχουν μόνο σχέδια για την απενεργοποίησή τους από προεπιλογή στα προγράμματα περιήγησης και όχι για την πλήρη κατάργησή τους, μπορούν πάντα να ενεργοποιηθούν εάν είναι απολύτως απαραίτητο. Αλλά παρακαλώ το κάνετε μόνο αν είναι πραγματικά απαραίτητο.

Ο Firefox 76 αποκτά προαιρετική λειτουργία μόνο HTTPS

Η Mozilla ανακοίνωσε ότι θα προσφέρει στους χρήστες ένα Λειτουργία μόνο HTTPS στην έκδοση 76 του προγράμματος περιήγησης Firefox. Σύμφωνα με τη Softpedia το χαρακτηριστικό θα χρησιμεύσει για να ωθήσει τους λίγους ανιχνευτές να προσκολληθούν στο HTTP προς το ασφαλές HTTPS πρωτόκολλο. Μόλις ενεργοποιηθεί στο πρόγραμμα περιήγησης, οι ιστότοποι HTTP δεν θα φορτώνουν πλέον. Αντ 'αυτού, το πρόγραμμα περιήγησης θα προσπαθήσει να αναβαθμίσει τη σύνδεση σε HTTPS. Εάν αυτό δεν είναι διαθέσιμο, προς το παρόν οι χρήστες θα λάβουν μια προειδοποίηση "Ασφαλής σύνδεση απέτυχε" που μπορεί να ληφθεί υπόψη ή να αγνοηθεί.

Ο Firefox 76 θα προσφέρει αυτήν την πιο ασφαλή περιήγηση μόνο ως επιλογή αυτή τη στιγμή - όχι ως προεπιλογή - οπότε οι χρήστες θα πρέπει να επιλέξουν την εμπειρία μόνο για HTTPS.

Απογείωση SSL.com:  Εάν θέλετε να ρυθμίσετε τον Firefox ώστε να χρησιμοποιεί μόνο HTTPS, θα σας παρέχουμε λεπτομερείς οδηγίες μετά την προγραμματισμένη ημερομηνία κυκλοφορίας, η οποία είναι σήμερα 5 Μαΐου 2020.

Πιστοποιητικά Πελατών Απλοποιημένα στον Firefox 75

Σε περισσότερα καλά νέα για τον Firefox, Ο Mozilla ανακοίνωσε ότι θα απλοποιήσουν τη χρήση πιστοποιητικών πελάτη στην έκδοση 75 του προγράμματος περιήγησης επιτρέποντάς του να έχει πρόσβαση στο χώρο αποθήκευσης πιστοποιητικών του λειτουργικού συστήματος σε Windows και macOS. Μέχρι αυτό το σημείο, οι χρήστες του Firefox έπρεπε να συνεργαστούν με πιστοποιητικά πελάτη στο πρόγραμμα περιήγησης, φορτώνοντας μια βιβλιοθήκη τρίτων για να επικοινωνήσουν με διακριτικά υλικού ή εισάγοντας πιστοποιητικά και ιδιωτικά κλειδιά στο κατάστημα πιστοποιητικών του προγράμματος περιήγησης. Αυτός δεν είναι ο πιο ασφαλής τρόπος αντιμετώπισης των πραγμάτων και μπορεί επίσης να προκαλέσει προβλήματα σταθερότητας.

 Τώρα, όπως το Chrome και άλλα προγράμματα περιήγησης, ο Firefox έχει αναπτύξει τη δική του βιβλιοθήκη για διασύνδεση με χώρο αποθήκευσης πιστοποιητικών OS. Από το ιστολόγιο:

Αντί να φορτώνει βιβλιοθήκες τρίτων για επικοινωνία με μάρκες υλικού, ο Firefox μπορεί να αναθέσει αυτήν την εργασία στο λειτουργικό σύστημα. Επίσης, αντί να αναγκάζει τον χρήστη να εξάγει πιστοποιητικά πελάτη και να τα εισάγει ξανά στο προφίλ του Firefox, ο Firefox μπορεί να αναζητήσει αυτά τα πιστοποιητικά απευθείας. Εκτός από την προστασία των ιδιωτικών κλειδιών, αυτός ο νέος μηχανισμός επιτρέπει στον Firefox να κάνει χρήση πιστοποιητικών πελάτη με μη εξαγώγιμα κλειδιά… Αναμένουμε ότι αυτή η δυνατότητα θα ωφελήσει πολύ τους εταιρικούς χρήστες μας που έχουν προηγουμένως προσπαθήσει να ρυθμίσουν τον Firefox ώστε να λειτουργεί στο περιβάλλον τους .

Απογείωση SSL.com: Τα πιστοποιητικά ελέγχου ταυτότητας πελάτη προσθέτουν έναν πρόσθετο ασφαλή παράγοντα ελέγχου ταυτότητας κατά τη σύνδεση σε εφαρμογές ιστού. Χαιρόμαστε που η Mozilla εργάζεται για να κάνει τη διαδικασία απλούστερη για τους χρήστες του Firefox και ελπίζουμε ότι το Mozilla σχεδιάζει μια παρόμοια αναβάθμιση για αυτό Thunderbird πελάτης email.

Το Jitsi προσφέρει μια εναλλακτική λύση ανοιχτού κώδικα στο Zoom

Το ζουμ έκανε πολλούς τίτλους τον περασμένο μήνα. Κατ 'αρχάς, όλοι πήγαν στο Zoom για να συνδεθούν με την εργασία, τους φίλους και την οικογένειά τους από το σπίτι, ενώ παραγγέλθηκαν να μείνουν στο σπίτι για να αποτρέψουν την εξάπλωση του κοροναϊού. Στη συνέχεια, όλοι έφυγαν όταν προέκυψαν ζητήματα ασφαλείας και επεξεργάστηκαν. Εν τω μεταξύ, προέκυψαν εναλλακτικές λύσεις.

Jitsi Γνωρίστε από 8 × 8 προσφέρει μια επιλογή ανοιχτού κώδικα για τηλεδιάσκεψη που διαθέτει χαρακτηριστικά όπως προστασία με κωδικό πρόσβασης. Και, ως ενσύρματες σημειώσεις, υπάρχουν ξεχωριστά πλεονεκτήματα από την ύπαρξη λογισμικού ανοιχτού κώδικα που επιτρέπει τροποποιήσεις από την κοινότητα προγραμματιστών:

Το γεγονός ότι οποιοσδήποτε μπορεί να τροποποιήσει και να μοιραστεί τον κώδικα της Jitsi σημαίνει ότι άλλοι μπορούν να ενσωματώσουν το εργαλείο στο λογισμικό τους. Το WeSchool το έκανε. Το ίδιο έκανε και η υπηρεσία λογισμικού συνομιλίας ανοιχτού κώδικα ταραχή, το οποίο χρησιμοποιεί το Jitsi για το στοιχείο συνομιλίας μέσω βίντεο. Ο Ivov λέει ότι 8 × 8 επωφελείται από τέτοια είδη έργων επειδή δοκιμάζουν την απόδοση του κώδικα της Jitsi σε διαφορετικές συσκευές και σε διαφορετικά περιβάλλοντα. Αυτό βοηθά την βασική ομάδα ανάπτυξης Jitsi να βελτιώσει το λογισμικό τόσο για χρήστες ανοιχτού κώδικα όσο και για πελάτες με χρέωση 8 × 8.

Αυτήν τη στιγμή, το Jitsi προσφέρει κρυπτογράφηση από άκρο σε άκρο μόνο για τις κλήσεις ενός προς ένα, όχι για διασκέψεις άνω των δύο ατόμων (που απαιτούν τη χρήση ενός κεντρικού διακομιστή που πρέπει να αποκρυπτογραφήσει τα δεδομένα) / Ωστόσο, λειτουργούν σχετικά με την επέκταση κρυπτογράφησης από άκρο σε άκρο σε αυτές τις μεγαλύτερες κλήσεις.

Απογείωση SSL.com:  Το SSL.com υποστηρίζει κρυπτογράφηση από άκρο σε άκρο για βιντεοκλήσεις και την ανάπτυξη ασφαλών και ιδιωτικών εργαλείων ανοιχτού κώδικα για αυτό που έχει γίνει βασική υπηρεσία Καθώς η τηλεδιάσκεψη έχει γίνει ένα κρίσιμο εργαλείο επικοινωνίας σε όλη μας τη ζωή, θα παρακολουθούμε στενά την ανάπτυξη του Jitsi.
Σας ευχαριστούμε που επιλέξατε το SSL.com! Εάν έχετε απορίες, επικοινωνήστε μαζί μας μέσω email στο Support@SSL.com, κλήση 1-877-SSL-SECUREή απλώς κάντε κλικ στο σύνδεσμο συνομιλίας κάτω δεξιά αυτής της σελίδας. Μπορείτε επίσης να βρείτε απαντήσεις σε πολλές κοινές ερωτήσεις υποστήριξης στο βάση γνώσεων.


Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.