¡Bienvenido a esta edición de marzo del Resumen de seguridad de SSL.com! Las cosas han cambiado mucho durante el último mes, como todos sabemos, pero al pasar más tiempo en línea, hay muchas noticias sobre SSL /TLS, certificados digitales y seguridad de red. Este mes, cubriremos:
Quédese en casa, manténgase seguro
A medida que la pandemia de COVID-19 continúa en todo el país, todos trabajan juntos para frenar la propagación del virus a través del distanciamiento físico y permanecer en casa tanto como sea posible. Para muchos, eso significa trabajar desde casa. Dado que esa podría ser una situación nueva para muchos, hemos escrito algunas guías para asegurarnos de que todos estén tan seguros en línea también y eviten las estafas en línea que han aparecido.
Este mes, Krebs en Seguridad notó que algunos sitios gubernamentales ni siquiera daban el mejor consejo cuando se trata de fraude en línea, lo cual es alarmante. Afortunadamente, nuestros guías son mucho más informativos. Este mes, hemos advertido sobre estafas oportunistas que se aprovecha de los miedos de COVID-19 con la esperanza de que renuncies voluntariamente a tu valiosa información:
Entre muchos otros, Dan Goodin de Ars Technica tiene reportaron en estafadores haciéndose pasar por personal de la Universidad y la Organización Mundial de la Salud, y Kaspersky Lab proporciona detalles de dos campañas de phishing que se hacen pasar por los Centros para el Control y la Prevención de Enfermedades de EE. UU. ... Los correos electrónicos de este tipo están destinados a engañar a los destinatarios para que revelen información personal confidencial (como contraseñas y números de tarjetas de crédito) y / o instalen malware en su dispositivo. Por ejemplo, un mensaje puede parecer que proviene de un empleador o funcionario escolar, pero contiene un enlace a una página web falsa con un formulario que recopila credenciales de inicio de sesión.
Además de ese artículo muy oportuno, le recomendamos que consulte nuestra guía más general para identificación de estafas de phishing y nuestro artículo que explica cómo cualquiera puede descubrir si un sitio web está dirigido por un negocio legítimo.
Chrome va de 81 a 83
La pandemia de COVID-19 está causando estragos en todas las industrias, y el software ni siquiera está exento. (A principios de este mes, las preocupaciones sobre las pruebas de software retrasó el lanzamiento del Mars Rover hasta 2022, por el bien de Pete.) De hecho, la pandemia ha provocado que Google abandone la versión 82 de Chrome por completo y pase directamente a 83. El cambio afecta a todos los navegadores basados en Chromium, lo que significa que las nuevas versiones del navegador Edge de Microsoft también están pausadas. Los navegadores Opera, Brave, Vivaldi y Samsung también se verán afectados. Como Stephen Shanklin en Cnet reconoce:
El nuevo coronavirus y la infección COVID-19 que causa han golpeado a las empresas, especialmente a aquellas que dependen del envío, las fábricas y otros recursos del mundo real afectados por los bloqueos para frenar la propagación del virus. El anuncio de Google muestra que incluso las personas que se dedican exclusivamente a las computadoras para ganarse la vida también se ven afectadas. Eso es porque las escuelas cerradas, el teletrabajo y otros factores están afectando a las personas cuyos trabajos ya son en su mayoría virtuales.
Echa un vistazo a CRLite
Finalmente, nos gustaría presentarle CRLite, si aún no te has conocido. CRLite es un estándar recientemente propuesto que enviaría información sobre TODOS los SSL /TLS certificados directamente a los navegadores. Hasta ahora, la revocación no ha sido realmente confiable, como hemos explicado en nuestros artículos sobre cómo los navegadores ha manejado certificados revocados hasta la fecha, y la Protocolo de estado del certificado en línea (OCSP). CRLite tiene el potencial de transformar un problema que, hasta ahora, solo tenía “soluciones” poco confiables y engorrosas, al integrar información sobre certificados revocados directamente en los navegadores. Para obtener una descripción general concisa de CRLite, le recomendamos que consulte Blog de seguridad de Mozilla o de Preguntas frecuentes de GitHub. De la introducción de Mozilla:
CRLite es una tecnología propuesta por un grupo de investigadores en el Simposio IEEE sobre Seguridad y Privacidad 2017 que comprime la información de revocación de manera tan efectiva que 300 megabytes de datos de revocación pueden convertirse en 1 megabyte. Lo logra combinando datos de Transparencia de certificados y resultados de escaneo de Internet con filtros Bloom en cascada, creando una estructura de datos que es confiable, fácil de verificar y fácil de actualizar.
