Tervetuloa SSL.com: n Security Roundupin helmikuun versioon. Se voi olla lyhin kuukausi, mutta se oli silti täynnä SSL /TLS, digitaaliset sertifikaatit ja verkkoturvallisuus. Tässä kuussa käsittelemme:
- Apple rajoittaa SSL: ää /TLS Sertifikaatit hieman yli vuodelle
- DNS HTTPS: n kautta on nyt Firefoxin oletus
- Lisää kirjoitusta seinälle TLS 1.0 ja 1.1
- Chrome estää epävarmoja latauksia
Apple asettaa sertifikaattien uuden aikarajan
Kuten olemme jo ilmoittaneet, Apple on äskettäin päättänyt rajoittaa SSL /TLS todistusten voimassaoloaika hiukan yli vuoteen. Bratislavassa, Slovakiassa, helmikuussa pidetyssä CA / Browser (CA / B) -foorumissa Apple ilmoitti, että 1. syyskuuta 2020 alkaen heidän laitteet ja Safari-selain eivät enää hyväksy varmenteita, joiden käyttöikä on yli 398 päivää. Apple ei ole vielä kirjoittanut virallista kirjallista ilmoitusta. (Päivitys: omena ilmoitti politiikan muutos verkkosivustollaan 3. maaliskuuta 2020.) As Rekisteri muistiinpanot:
Apple, Google ja muut CA / Browser -jäsenet ovat kuunnelleet sertifikaattien käyttöikää kuukausien ajan. Politiikalla on etuja ja haittoja ... Siirtymän tarkoituksena on parantaa verkkosivustojen turvallisuutta varmistamalla, että kehittäjät käyttävät viimeisimpien salaustandardien mukaisia sertifikaatteja, ja vähentämällä vanhojen, laiminlyötyjen varmenteiden määrää, joita mahdollisesti voidaan varastaa ja käyttää uudelleen tietojenkalastelu- ja ajamahaittaohjelmat. Jos boffit tai väärintekijät pystyvät rikkomaan salauksen SSL: ssä /TLS Lyhytikäiset standardit todistukset varmistavat, että ihmiset siirtyvät turvallisempiin sertteihin noin vuoden kuluessa.
Se, että tällainen merkittävä muutos tapahtuu tällä tavalla, on hiukan yllättävää, mutta muutos itsessään ei ole. Lyhyemmät todistusten voimassaoloajat, kuten Rekisteri, ovat jotain, jota ala on pohtinut vakavasti viime aikoina. Syyskuun CA / B-foorumin äänestyskierros olisi voinut muuttaa sertifikaattien enimmäiskestoajan nykyisestä 825 päivän standardista yhdestä vuodesta, mutta äänestys epäonnistui. Tällä kertaa se ei ottanut äänestystä - niin vaikutusvaltainen kuin Apple voi siirtää standardia yksinään.
DNS HTTPS: n kautta nyt Firefoxin oletus
Tässä kuussa Mozilla asetti DNS HTTPS: n kautta (DoH) oletusasetuksena Yhdysvaltojen Firefox-selaimen käyttäjille. Niille, jotka ovat uudenlaisia käsitteessä: DoH salaa DNS-tiedot, jotka ovat yleensä salaamattomia (jopa suojatuilla verkkosivustoilla), ja estää muita näkemästä, mitä verkkosivustoja ihmiset käyvät. Joillekin yhteisöille, jotka haluavat kerätä tietoja käyttäjistä (kuten hallitus tai ne, jotka haluavat hyötyä mainittujen tietojen myynnistä), se on huono uutinen. Ja jotkut väittävät myös, että lisääntynyt opasiteetti estää rikollisia jäljittävää hyödyllistä vakoilua ja sallii vanhempainvalvonnan selaamisessa. Toiset, kuten Mozilla (selvästi) ja Electronic Frontier Foundation mainostaa DoH: n etuja korostaen, että verkkoliikenteen salaaminen parantaa yksityisyyttä ja estää hallituksen hallitsevan yrityksiä jäljittää ja sensuroida ihmisiä. Mozillan Firefox on ensimmäinen selain, joka on ottanut standardin käyttöön oletuksena.
Firefox ja Slack ovat saaneet sen mukana TLS 1.0 ja 1.1
Yksiselitteisessä liikkeessä päästä eroon TLS 1.0 ja 1.1 kokonaan, Mozilla vaatii nyt manuaalinen ohitus käyttäjille, jotka yrittävät muodostaa yhteyden verkkosivustoihin protokollien avulla. Muutos on askel kohti heidän ilmoitettua tavoitetta estää tällaiset sivustot kokonaan. Kuten Verge raportit, muutos tarkoittaa sitä, mikä on "todella loppuajat" TLS ja 1.0 ja 1.1, ja Mozilla liittyy lähitulevaisuudessa muihin:
Täydellinen tuki poistetaan Safarista Apple iOS- ja macOS-päivityksissä maaliskuusta 2020 alkaen. ' Google on ilmoittanut poistavansa tuen verkkotunnukselle TLS 1.0 ja 1.1 Chrome 81: ssä (odotettavissa 17. maaliskuuta). Microsoft sanoi se tekisi samoin "vuoden 2020 ensimmäisellä puoliskolla".
Mozilla ei ole ainoa merkittävä ohjelmistovalmistaja, joka ohjaa kaikkia poispäin TLS 1.0 ja 1.1. Tässä kuussa, löysä lopetti tuen heillekin; yritys sanoo tekevänsä muutosta "yhdenmukaistamiseksi alan parhaiden käytäntöjen kanssa tietoturvaa ja tietojen eheyttä varten".
Chrome estää epävarmat lataukset
Viime aikoina selaimet ovat siirtyneet varoittamaan käyttäjiä sekoitettu sisältö. Sekoitettua sisältöä esiintyy, kun verkkosivustot linkittävät suojaamattomaan HTTP-sisältöön (kuten kuviin ja latauksiin) HTTPS-sivuilta, "sekoittamalla" nämä kaksi protokollaa tavalla, joka ei ole ilmeistä käyttäjille ilman varoitusta (olemme tarkastelleet käsitettä syvemmin tässä artikkelissa). Nyt Chrome vie askeleen pidemmälle ja estää sekoitetun sisällön lataamisen. Kuten Tech Times raportit:
Chrome 82: sta alkaen, joka julkaistaan huhtikuussa, Chrome varoittaa käyttäjiä, jos he aikovat ladata sekoitetun sisällön suoritettavia tiedostoja vakaalta verkkosivustolta ... Sitten, kun versio 83 julkaistaan, suoritettavat lataukset voidaan estää ja varoitus voi tiedostojen arkistointiin. PDF-tiedostot ja .Doc-tiedostot saavat varoituksen Chrome 84: ssä, ja ääni-, kuva-, teksti- ja videotiedostot näyttävät sen 85. version avulla. Lopuksi kaikki sekalaisen sisällön lataukset - vakaalta sivustolta tuleva epävakaa tiedosto - voidaan estää Chrome 86: n purkamisen jälkeen.
Tässä on kätevä kaavio Googlelta, joka näyttää heidän varoituksen / estämisen aikajanan erityyppiselle sekalaiselle sisällölle:
