Bienvenido a esta edición de febrero del Resumen de seguridad de SSL.com. Puede que sea nuestro mes más corto, pero todavía estuvo lleno de desarrollos en SSL /TLS, certificados digitales y seguridad de red. Este mes, cubriremos:
- Apple limita SSL /TLS Certificados a poco más de un año.
- DNS sobre HTTPS ahora es un valor predeterminado de Firefox
- Más escritura en la pared para TLS 1.0 y 1.1
- Chrome bloqueará descargas inseguras
Apple pone un nuevo límite de tiempo a los certificados
Como ya informamos, Apple ha optado recientemente por limitar SSL /TLS certificado de vida útil a poco más de un año. En el Foro CA / Browser (CA / B) de febrero en Bratislava, Eslovaquia, Apple anunció que, a partir del 1 de septiembre de 2020, sus dispositivos y su navegador Safari ya no aceptarían certificados con vidas superiores a 398 días. Hasta el momento no ha habido ningún anuncio oficial por escrito de Apple. (Actualizar: Apple anunció el cambio de política en su sitio web el 3 de marzo de 2020.) Como El registro reconoce:
Apple, Google y otros miembros de CA / Browser han meditado durante meses la reducción de la vida útil de los certificados. La política tiene sus ventajas e inconvenientes ... El objetivo de la medida es mejorar la seguridad del sitio web asegurándose de que los desarrolladores utilicen certificados con los últimos estándares criptográficos y reducir la cantidad de certificados antiguos y descuidados que podrían ser robados y reutilizados para ataques de phishing y malware drive-by. Si los boffins o los malhechores pueden romper la criptografía en un SSL /TLS Los certificados estándar de corta duración garantizarán que las personas migren a certificaciones más seguras en aproximadamente un año.
Que un cambio tan significativo esté sucediendo de esta manera es algo sorprendente, pero el cambio en sí no lo es. Menor duración de los certificados, como lo señala El registro, son algo que la industria ha estado considerando seriamente recientemente. Una boleta del Foro CA / B de septiembre podría haber cambiado el período de validez máximo de los certificados del estándar actual de 825 días por un año, pero ese voto falló. Esta vez no se votó: una empresa tan influyente como Apple puede cambiar el estándar por sí sola.
DNS sobre HTTPS ahora Firefox predeterminado
Este mes, el set de Mozilla DNS sobre HTTPS (DoH) como predeterminado para usuarios estadounidenses de su navegador Firefox. Para aquellos nuevos en el concepto: DoH encripta información DNS que generalmente no está encriptada (incluso en sitios web seguros) y evita que otros vean qué sitios web visitan las personas. Para algunas entidades que les gusta recopilar datos sobre los usuarios (como el gobierno, o aquellos que esperan beneficiarse de la venta de dichos datos) son malas noticias. Y algunos también argumentan que el aumento de la opacidad evita el espionaje útil que rastrea a los delincuentes y permite el control parental en la navegación. Otros, como Mozilla (claramente) y el Electronic Frontier Foundation Promociona los beneficios de DoH, haciendo hincapié en que el cifrado del tráfico web mejora la privacidad del público y frustra los intentos del gobierno de rastrear y censurar a las personas. Firefox de Mozilla es el primer navegador en adoptar el estándar por defecto.
Firefox y Slack lo han tenido con TLS 1.0 y 1.1
En un movimiento inequívoco para deshacerse de TLS 1.0 y 1.1 completamente, Mozilla ahora requiere una anulación manual de los usuarios que intentan conectarse a sitios web utilizando los protocolos. El cambio es un paso hacia su objetivo declarado de bloquear dichos sitios por completo. Como The Verge informes, el cambio significa lo que es "verdaderamente los últimos tiempos" para TLS y 1.0 y 1.1, y Mozilla se unirá a otros en un futuro cercano:
El soporte completo se eliminará de Safari en las actualizaciones de Apple iOS y macOS a partir de marzo de 2020. ' Google ha dicho que eliminará el soporte para TLS 1.0 y 1.1 en Chrome 81 (previsto para el 17 de marzo). Microsoft dijo haría lo mismo 'en la primera mitad de 2020'.
Mozilla no es el único proveedor importante de software que está alejando a todos de TLS 1.0 y 1.1. Este mes, holgura terminó el apoyo para ellos también; la compañía dice que están haciendo el cambio "para alinearse con las mejores prácticas de la industria para la seguridad y la integridad de los datos".
Chrome para bloquear descargas inseguras
Recientemente, los navegadores han estado haciendo el movimiento para advertir a los usuarios sobre contenido mixto. El contenido mixto ocurre cuando los sitios web se vinculan a contenido HTTP inseguro (como imágenes y descargas) desde páginas HTTPS, "mezclando" los dos protocolos de una manera que no es obvia para los usuarios sin una advertencia (hemos examinado el concepto más profundamente en este articulo) Ahora Chrome está llevando las cosas un paso más allá y bloqueará la descarga de contenido mixto. Como el Tech tiempos informes:
A partir de Chrome 82, cuyo lanzamiento está previsto para abril, Chrome advertirá a los usuarios si están a punto de descargar ejecutables de contenido mixto de un sitio web estable ... Luego, cuando se lance la versión 83, las descargas ejecutables podrían bloquearse y la precaución implementarse para archivar archivos. Los archivos PDF y .Doc recibirán la advertencia en Chrome 84, con archivos de audio, imágenes, texto y video que la mostrarán con la ayuda de la versión 85. Finalmente, todas las descargas de contenido mixto (un archivo no estable que proviene de un sitio estable) pueden bloquearse a partir de la descarga de Chrome 86.
Aquí hay un útil gráfico de Google que muestra su línea de tiempo de advertencia / bloqueo para diferentes tipos de contenido mixto:
