Resumen de seguridad de abril de 2020

¡Bienvenido a esta edición de abril del Resumen de seguridad de SSL.com! Muchos de nosotros hemos estado encerrados en el último mes, pero la vida en línea sigue siendo fuerte, lo que significa que tenemos mucho que redondear cuando se trata de seguridad digital. Este mes echaremos un vistazo a:

Microsoft pospone TLS Depreciación 1.0 y 1.1

Aunque Microsoft había planeado deshabilitar Transport Layer Security (TLS) versiones 1.0 y 1.1 en algún momento de esta primavera, la compañía anunció que "a la luz de los acontecimientos actuales" ese plan ahora se pospondrá hasta fin de año.

Si bien eso puede sonar como una excusa conveniente para no tomar medidas, informes de ghacks.net que una promesa generalizada entre los navegadores para deshabilitar los protocolos de seguridad se convirtió en un problema durante la pandemia. Escriben:

Algunos, como Mozilla, siguieron adelante con el cambio, pero lo revirtieron cuando quedó claro que algunos sitios del gobierno todavía confiaban en estos protocolos. Los usuarios de Firefox ya no podían acceder a estos sitios debido a los protocolos deshabilitados. Mozilla volvió a habilitar los protocolos para asegurarse de que los usuarios de Firefox de todo el mundo puedan acceder a sitios importantes en tiempos de crisis.

En este momento, Microsoft planea lanzar una nueva versión de Microsoft Edge 84r basada en Chromium en julio donde TLS 1.0 y 1.1 estarán deshabilitados por defecto. Microsoft Internet Explorer 11 y Microsoft Edge clásico deshabilitarán los protocolos el 8 de septiembre.

Para llevar de SSL.com: Te hemos estado advirtiendo por algún tiempo que estos protocolos están desactualizados e inseguros, y esta última arruga no cambia eso. Debido a que solo hay planes para deshabilitarlos de forma predeterminada en los navegadores, no para eliminarlos por completo, siempre se pueden habilitar si es absolutamente necesario. Pero por favor solo haz eso si es realmente necesario.

Firefox 76 obtiene el modo opcional solo HTTPS

Mozilla ha anunciado que ofrecerán a los usuarios un Modo solo HTTPS en la versión 76 del navegador Firefox. De acuerdo con Softpedia la función servirá para empujar a los pocos rezagados que se aferran a HTTP a la seguridad HTTPS protocolo. Una vez activado en el navegador, los sitios HTTP ya no se cargarían. En cambio, el navegador intentará actualizar la conexión a HTTPS. Si eso no está disponible, por ahora los usuarios recibirán una advertencia de "Error de conexión segura" que puede ser atendida o ignorada.

Firefox 76 solo ofrecerá esta navegación más segura como una opción en este momento, no como una opción predeterminada, por lo que los usuarios tendrán que optar por la experiencia solo HTTPS.

Para llevar de SSL.com:  Si desea configurar Firefox para usar solo HTTPS, le brindaremos instrucciones detalladas después de la fecha de lanzamiento programada, que actualmente es el 5 de mayo de 2020.

Certificados de cliente simplificados en Firefox 75

En más buenas noticias sobre Firefox, Anunció Mozilla que simplificarán el uso del certificado de cliente en la versión 75 del navegador al permitirle acceder al almacén de certificados del sistema operativo en Windows y macOS. Hasta este momento, los usuarios de Firefox han tenido que trabajar con certificados de cliente en el navegador cargando una biblioteca de terceros para comunicarse con tokens de hardware o importando certificados y claves privadas en el propio almacén de certificados del navegador. Esa no es la forma más segura de hacer las cosas y también puede causar problemas de estabilidad.

 Ahora, como Chrome y otros navegadores, Firefox ha desarrollado su propia biblioteca para interactuar con el almacenamiento de certificados del sistema operativo. Desde el blog:

En lugar de cargar bibliotecas de terceros para comunicarse con tokens de hardware, Firefox puede delegar esta tarea al sistema operativo. Además, en lugar de obligar al usuario a exportar certificados de cliente y volver a importarlos en su perfil de Firefox, Firefox puede buscar estos certificados directamente. Además de proteger las claves privadas, este nuevo mecanismo permite a Firefox hacer uso de certificados de cliente con claves no exportables ... Esperamos que esta característica sea de gran beneficio para nuestros usuarios empresariales que previamente han hecho grandes esfuerzos para configurar Firefox para que funcione en su entorno .

Para llevar de SSL.com: Los certificados de autenticación de cliente agregan un factor de autenticación seguro adicional al iniciar sesión en aplicaciones web. Nos complace que Mozilla esté trabajando para simplificar el proceso para los usuarios de Firefox y esperamos que Mozilla planee una actualización similar para su Thunderbird Cliente de correo electronico.

Jitsi ofrece una alternativa de código abierto para hacer zoom

Zoom hizo muchos titulares el mes pasado. Primero, todos se subieron a Zoom para conectarse con el trabajo, los amigos y la familia desde su hogar mientras tenían órdenes de quedarse en casa para evitar la propagación del coronavirus. Luego, todos huyeron cuando surgieron problemas de seguridad y se trabajó en ellos. Mientras tanto, surgieron alternativas.

Jitsi conoce de 8 × 8 ofrece una opción de código abierto para videoconferencias que tiene características como protección con contraseña. Y, como notas alámbricas, existen distintas ventajas de tener un software de código abierto que permita modificaciones por parte de la comunidad de desarrolladores:

El hecho de que cualquiera pueda modificar y compartir el código de Jitsi significa que otros pueden construir la herramienta en su software. WeSchool hizo eso. También lo hizo el servicio de software de chat de código abierto Alboroto, que utiliza Jitsi para su componente de chat de video. Ivov dice que 8 × 8 se beneficia de este tipo de proyectos porque prueban cómo funciona el código de Jitsi en diferentes dispositivos y en diferentes entornos. Eso ayuda al equipo de desarrollo central de Jitsi a mejorar el software tanto para los usuarios de código abierto como para los clientes de pago de 8 × 8.

En este momento, Jitsi solo ofrece cifrado de extremo a extremo para sus llamadas individuales, no conferencias de más de dos personas (que requieren el uso de un servidor centralizado que necesita descifrar los datos) / Sin embargo, están trabajando en expandir el cifrado de extremo a extremo a esas llamadas más grandes.

Para llevar de SSL.com:  SSL.com admite el cifrado de extremo a extremo para videollamadas y el desarrollo de herramientas seguras y privadas de código abierto para lo que se ha convertido en un servicio esencial. Dado que la videoconferencia se ha convertido en una herramienta de comunicación crucial en todas nuestras vidas, seguiremos de cerca el desarrollo de Jitsi.
¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página. También puede encontrar respuestas a muchas preguntas de soporte comunes en nuestro base de conocimientos.


Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.