Tervetuloa SSL.com: n Security Roundupin huhtikuun versioon! Monet meistä ovat saaneet yhteistyötä viimeisen kuukauden aikana, mutta elämä verkossa on edelleen vahvaa, mikä tarkoittaa, että digitaalisen turvallisuuden alalla meillä on paljon pyöristää. Tässä kuussa tarkastellaan:
- Microsoft lykkää TLS 1.0 ja 1.0 poistot
- Vain HTTPS-tila Firefox 76: ssa
- Laajennettu asiakasvarmenneoikeus Firefox 75: lle
- Avoimen lähdekoodin vaihtoehto Zoomille
Microsoft lykkää TLS 1.0 ja 1.1 poistot
Vaikka Microsoft oli suunnitellut poistaa Transport Layer Security (TLS) versiot 1.0 ja 1.1 joskus tänä keväänä ilmoitti että ”nykyisten tapahtumien valossa” kyseistä suunnitelmaa lykätään vuoden loppuun.
Vaikka tämä saattaa kuulostaa kätevällä tekosyynä toimenpiteiden laiminlyönnille, ghacks.net raportoi että selainten laajalle levinnyt lupaus turvaprotokollien käytöstä poistamisesta tuli todellakin ongelma pandemian aikana. He kirjoittavat:
Jotkut, kuten Mozilla, etenivät muutoksen eteen, mutta palasivat siihen muuttuneena, kun kävi selväksi, että jotkut hallituksen sivustot luottavat edelleen näihin pöytäkirjoihin. Firefoxin käyttäjät eivät voineet enää käyttää näitä sivustoja käytöstä poistettujen protokollien takia. Mozilla aktivoi protokollat uudelleen varmistaakseen, että Firefoxin käyttäjät ympäri maailmaa pääsevät tärkeille sivustoille kriisin aikana.
Tällä hetkellä Microsoft aikoo julkaista uuden Chromium-pohjaisen Microsoft Edge -version 84r heinäkuussa TLS 1.0 ja 1.1 poistetaan käytöstä oletuksena. Microsoft Internet Explorer 11 ja Classic Microsoft Edge poistavat protokollat käytöstä 8. syyskuuta.
Firefox 76 saa valinnaisen vain HTTPS-tilan
Mozilla on ilmoittanut tarjoavansa käyttäjille Vain HTTPS-tila Firefox-selaimen versiossa 76. Softpedian mukaan ominaisuus paljastaa muutaman HTTP: ään takertuvan sirglerin työntääkseen suojaan HTTPS protokolla. Kun HTTP-sivustot on aktivoitu selaimessa, ne eivät enää lataudu. Sen sijaan selain yrittää päivittää yhteyden HTTPS: ään. Jos sitä ei ole käytettävissä, käyttäjät saavat nyt ”Suojattu yhteys epäonnistui” -varoituksen, jota voidaan joko ottaa huomioon tai jättää huomioimatta.
Firefox 76 tarjoaa tällä hetkellä turvallisemman selauksen vain vaihtoehtona - ei oletusasetuksena -, joten käyttäjien on valittava vain HTTPS-käyttökokemus.
Yksinkertaistetut asiakassertifikaatit Firefox 75: ssä
Lisää hyviä uutisia Firefoxista, Mozilla ilmoitti että ne yksinkertaistavat asiakassertifikaattien käyttöä selaimen versiossa 75 sallimalla sen käyttää käyttöjärjestelmän sertifikaattikauppaa Windowsissa ja macOS: ssa. Tähän asti Firefoxin käyttäjien on täytynyt työskennellä selaimen asiakasvarmenteiden kanssa lataamalla kolmannen osapuolen kirjasto kommunikoimaan laitteistotunnusten kanssa tai tuomalla varmenteita ja yksityisiä avaimia selaimen omaan varmentekauppaan. Se ei ole turvallisin tapa edetä asioissa, ja se voi myös aiheuttaa vakausongelmia.
Nyt, kuten Chrome ja muut selaimet, Firefox on kehittänyt oman kirjaston käyttöliittymänä käyttöjärjestelmän varmenteiden varastointiin. Blogista:
Sen sijaan, että latataan kolmansien osapuolien kirjastoja kommunikoimaan laitteisto-tunnisteiden kanssa, Firefox voi siirtää tämän tehtävän käyttöjärjestelmälle. Sen sijaan, että pakotettaisiin käyttäjän viemään asiakasvarmenteita ja tuoda ne uudelleen Firefox-profiiliinsa, Firefox voi etsiä näitä varmenteita suoraan. Yksityisten avainten suojaamisen lisäksi tämä uusi mekanismi antaa Firefoxille mahdollisuuden käyttää asiakasvarmenteita, joita ei voi viedä avaimilla. Odotamme, että tämä ominaisuus hyödyttää paljon yrityksiä käyttäjiä, jotka ovat aiemmin menneet pitkälle määrittämään Firefox toimimaan ympäristössään. .
Jitsi tarjoaa avoimen lähdekoodin vaihtoehdon zoomille
Zoom teki viime kuussa paljon otsikoita. Ensinnäkin kaikki hyppäsivat Zoom -laitteelle muodostaakseen yhteyden työhön, ystäviin ja perheeseen kotoa, kun he saivat käskyn pysyä kotona koronaviruksen leviämisen estämiseksi. Sitten kaikki pakenivat, kun turvallisuuskysymykset nousivat esiin ja jatkettiin työskentelyä. Sillä välin, vaihtoehtoja syntyi.
Jitsi tavata alkaen 8 × 8 tarjoaa avoimen lähdekoodin vaihtoehdon videoneuvotteluille, jolla on ominaisuuksia, kuten salasanasuojaus. Ja, kuten Wired toteaa, avoimen lähdekoodin ohjelmistoilla on selviä etuja, jotka kehittäjäyhteisö voi muuttaa niitä:
Se, että kuka tahansa voi muokata ja jakaa Jitsin koodia, tarkoittaa, että muut voivat rakentaa työkalun ohjelmistoonsa. WeSchool teki sen. Samoin tehtiin avoimen lähdekoodin chat-ohjelmistopalvelu Mellakka, joka käyttää Jitsiä videokeskustekomponenttina. Ivov sanoo, että 8 × 8 hyötyy tällaisista projekteista, koska he testaavat Jitsin koodin suorituskykyä eri laitteissa ja eri ympäristöissä. Tämä auttaa Jitsin kehitystiimiä parantamaan ohjelmistoa sekä avoimen lähdekoodin käyttäjille että palkattuille 8 × 8 asiakkaille.
Tällä hetkellä Jitsi tarjoaa vain päästä päähän -salauksen puheluihinsa, ei yli kahden henkilön konferensseihin (jotka edellyttävät keskitetyn palvelimen käyttöä, joka täytyy salata tiedot) / He kuitenkin työskentelevät laajentamalla päästä päähän-salausta näihin suurempiin puheluihin.
