en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Resumen de seguridad de febrero de 2020

Bienvenido a esta edición de febrero del Resumen de seguridad de SSL.com. Puede que sea nuestro mes más corto, pero todavía estuvo lleno de desarrollos en SSL /TLS, certificados digitales y seguridad de red. Este mes, cubriremos:

Apple pone un nuevo límite de tiempo a los certificados

Como ya informamos, Apple ha optado recientemente por limitar SSL /TLS certificado de vida útil a poco más de un año. En el Foro CA / Browser (CA / B) de febrero en Bratislava, Eslovaquia, Apple anunció que, a partir del 1 de septiembre de 2020, sus dispositivos y su navegador Safari ya no aceptarían certificados con vidas superiores a 398 días. Hasta el momento no ha habido ningún anuncio oficial por escrito de Apple. (Actualizar: Apple anunció el cambio de política en su sitio web el 3 de marzo de 2020.) Como El registro reconoce:

Apple, Google y otros miembros de CA / Browser han meditado durante meses la reducción de la vida útil de los certificados. La política tiene sus ventajas e inconvenientes ... El objetivo de la medida es mejorar la seguridad del sitio web asegurándose de que los desarrolladores utilicen certificados con los últimos estándares criptográficos y reducir la cantidad de certificados antiguos y descuidados que podrían ser robados y reutilizados para ataques de phishing y malware drive-by. Si los boffins o los malhechores pueden romper la criptografía en un SSL /TLS Los certificados estándar de corta duración garantizarán que las personas migren a certificaciones más seguras en aproximadamente un año.

Que un cambio tan significativo esté sucediendo de esta manera es algo sorprendente, pero el cambio en sí no lo es. Menor duración de los certificados, como lo señala El registro, son algo que la industria ha estado considerando seriamente recientemente. Una boleta del Foro CA / B de septiembre podría haber cambiado el período de validez máximo de los certificados del estándar actual de 825 días por un año, pero ese voto falló. Esta vez no se votó: una empresa tan influyente como Apple puede cambiar el estándar por sí sola.

Para llevar de SSL.com: Aunque la reducción de la vida útil de los certificados ha sido un punto de conversación, aún no ha habido un movimiento de consenso para hacerlo en toda la industria. Este movimiento de Apple probablemente podría forzar ese consenso y cambiar el estándar. No está claro qué efecto dominó tendrá la reducción a la mitad, ¡pero parece que estamos a punto de descubrirlo!

DNS sobre HTTPS ahora Firefox predeterminado

Este mes, el set de Mozilla DNS sobre HTTPS (DoH) como predeterminado para usuarios estadounidenses de su navegador Firefox. Para aquellos nuevos en el concepto: DoH encripta información DNS que generalmente no está encriptada (incluso en sitios web seguros) y evita que otros vean qué sitios web visitan las personas. Para algunas entidades que les gusta recopilar datos sobre los usuarios (como el gobierno, o aquellos que esperan beneficiarse de la venta de dichos datos) son malas noticias. Y algunos también argumentan que el aumento de la opacidad evita el espionaje útil que rastrea a los delincuentes y permite el control parental en la navegación. Otros, como Mozilla (claramente) y el Electronic Frontier Foundation Promociona los beneficios de DoH, haciendo hincapié en que el cifrado del tráfico web mejora la privacidad del público y frustra los intentos del gobierno de rastrear y censurar a las personas. Firefox de Mozilla es el primer navegador en adoptar el estándar por defecto.

Para llevar de SSL.com: Como partidarios de la privacidad y el cifrado más robusto, este cambio por parte de Mozilla nos parece una cosa muy positiva a la que seguramente se opondrán las personas que se benefician de la recopilación y venta de datos recopilados sobre usuarios de Internet desprevenidos.

Firefox y Slack lo han tenido con TLS 1.0 y 1.1

En un movimiento inequívoco para deshacerse de TLS 1.0 y 1.1 completamente, Mozilla ahora requiere una anulación manual de los usuarios que intentan conectarse a sitios web utilizando los protocolos. El cambio es un paso hacia su objetivo declarado de bloquear dichos sitios por completo. Como The Verge informes, el cambio significa lo que es "verdaderamente los últimos tiempos" para TLS y 1.0 y 1.1, y Mozilla se unirá a otros en un futuro cercano:

El soporte completo se eliminará de Safari en las actualizaciones de Apple iOS y macOS a partir de marzo de 2020. ' Google ha dicho que eliminará el soporte para TLS 1.0 y 1.1 en Chrome 81 (previsto para el 17 de marzo). Microsoft dicho haría lo mismo 'en la primera mitad de 2020'.

Mozilla no es el único proveedor importante de software que está alejando a todos de TLS 1.0 y 1.1. Este mes, holgura terminó el apoyo para ellos también; la compañía dice que están haciendo el cambio "para alinearse con las mejores prácticas de la industria para la seguridad y la integridad de los datos".

Para llevar de SSL.com: El mensaje aquí es bastante sencillo. Dejar de usar TLS 1.0 y 1.1 en sus sitios web, y asegúrese de mantener actualizados sus navegadores.

Chrome para bloquear descargas inseguras

Recientemente, los navegadores han estado haciendo el movimiento para advertir a los usuarios sobre contenido mixto. El contenido mixto ocurre cuando los sitios web se vinculan a contenido HTTP inseguro (como imágenes y descargas) desde páginas HTTPS, "mezclando" los dos protocolos de una manera que no es obvia para los usuarios sin una advertencia (hemos examinado el concepto más profundamente en este articulo) Ahora Chrome está llevando las cosas un paso más allá y bloqueará la descarga de contenido mixto. Como el Tech tiempos informes:

A partir de Chrome 82, cuyo lanzamiento está previsto para abril, Chrome advertirá a los usuarios si están a punto de descargar ejecutables de contenido mixto de un sitio web estable ... Luego, cuando se lance la versión 83, las descargas ejecutables podrían bloquearse y la precaución implementarse para archivar archivos. Los archivos PDF y .Doc recibirán la advertencia en Chrome 84, con archivos de audio, imágenes, texto y video que la mostrarán con la ayuda de la versión 85. Finalmente, todas las descargas de contenido mixto (un archivo no estable que proviene de un sitio estable) pueden bloquearse a partir de la descarga de Chrome 86.

Aquí hay un útil gráfico de Google que muestra su línea de tiempo de advertencia / bloqueo para diferentes tipos de contenido mixto:

Programa para bloquear contenido mixto en Chrome

Para llevar de SSL.com: Si tiene un sitio que sirve recursos HTTP de páginas HTTPS, ¡córtelo! Puede que te bloqueen.
¡Gracias por elegir SSL.com! Si tiene alguna pregunta, comuníquese con nosotros por correo electrónico a Support@SSL.com, llamada 1-877-SSL-SECURE, o simplemente haga clic en el enlace de chat en la parte inferior derecha de esta página.


Suscríbase al boletín de SSL.com

No se pierda los nuevos artículos y actualizaciones de SSL.com